上週末,一個名為“暗雲Ⅲ”的病毒通過下載站大規模傳播,可能與 DDoS 攻擊相關並引發大規模攻擊事件,“暗雲Ⅲ”病毒會感染磁盤引導區(MBR),重裝系統甚至格式化硬盤都無法清除。早在2015年時,“暗雲”病毒就被騰訊電腦管家檢測到就被首次發現並攔截查殺。以及360安全衛士官方微博消息,在2016年12月16日已捕獲暗雲,並第一時間進行查殺。
在這兩年多時間裡,該木馬不斷更新迭代,持續對抗升級到“暗雲Ⅲ”。在4月開始,該木馬已經卷土重來。但由於上個月“wannacry”病毒攻擊影響範圍甚廣,導致“暗雲Ⅲ”被“wannacry”病毒的光芒掩蓋了。直到時隔一個月後“wannacry”稍微平息一點,人們才發現“暗雲Ⅲ”病毒。
“暗雲Ⅲ”與之前版本相比有以下特點和區別:
第一、更加隱蔽,暗雲Ⅲ依舊是無文件無註冊表,與暗雲Ⅱ相比,取消了多個內核鉤子,取消了對象劫持,變得更加隱蔽,即使專業人員,也難以發現其蹤跡。
第二、兼容性,由於該木馬主要通過掛鉤磁盤驅動器的StartIO來實現隱藏和保護病毒MBR,此類鉤子位於內核很底層,不同類型、品牌的硬盤所需要的 hook點不一樣,此版本木馬增加了更多判斷代碼,能夠感染市面上的絕大多數系統和硬盤。
第三、針對性對抗安全軟件,對安全廠商的“急救箱”類工具做專門對抗,通過設備名佔坑的方式試圖阻止某些工具的加載運行。
圖1.三代暗雲木馬比較
圖2.暗雲Ⅲ木馬啟動流程
作為國內的信息安全服務商—數安時代(GDCA)提醒廣大用戶,“暗雲”系列木馬病毒使用多種複雜技術潛伏於用戶電腦中,是迄今為止最複雜的木馬之一。用戶需要趕快檢查一下自己的電腦是否被病毒入侵,並升級到最新版本抵禦病毒入侵,目前騰訊電腦管家、360安全衛士最新版本都具備攔截查殺該病毒功能。
文章轉載:https://www.trustauth.cn/news/security-news/17104.html