6月9日，騰訊電腦管家再次發(fā)布關于暗云 Ⅲ 的緊急預警，稱其通過下載站大規(guī)模傳播，可能與 DDoS 攻擊相關并引發(fā)大規(guī)模攻擊事件。其實，今年5月9日，騰訊電腦管家已經(jīng)發(fā)布過一次“暗云Ⅲ”預警通知。雷鋒網(wǎng)了解到，此次再發(fā)緊急預警是因為其監(jiān)測到近期暗云 Ⅲ感染規(guī)模的急劇擴大。

該病毒通過感染磁盤 MBR 來實現(xiàn)開機啟動，騰訊電腦管家方面將其定性為：感染用戶數(shù)量巨大，是目前已知復雜度最高感染用戶數(shù)量最大的木馬之一。中毒用戶會成為受控“肉雞”，導致網(wǎng)絡變卡、用戶信息被竊取等安全問題。

暗云系列木馬病毒因使用多種復雜技術潛伏于用戶電腦中，在過去兩年間，不斷變種升級。2015年，爆發(fā)的第一代“暗云”木馬就“來勢洶洶”，用戶感染后即使重裝、格式化硬盤也無法清除，并且此病毒還兼容 X86、X64 兩種版本的 XP、Win7等操作系統(tǒng)。

據(jù)騰訊反病毒實驗室的分析報告，暗云Ⅲ與之前版本相比有以下特點和區(qū)別：

第一、更加隱蔽，暗云Ⅲ依舊是無文件無注冊表，與暗云Ⅱ相比，取消了多個內核鉤子，取消了對象劫持，變得更加隱蔽，即使專業(yè)人員，也難以發(fā)現(xiàn)其蹤跡。

第二、兼容性，由于該木馬主要通過掛鉤磁盤驅動器的StartIO來實現(xiàn)隱藏和保護病毒MBR，此類鉤子位于內核很底層，不同類型、品牌的硬盤所需要的hook點不一樣，此版本木馬增加了更多判斷代碼，能夠感染市面上的絕大多數(shù)系統(tǒng)和硬盤。

第三、針對性對抗安全軟件，對安全廠商的“急救箱”類工具做專門對抗，通過設備名占坑的方式試圖阻止某些工具的加載運行。

［三代暗云木馬比較］

［暗云Ⅲ 木馬啟動流程］

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。