6月9日，騰訊電腦管家再次發(fā)布關(guān)于暗云 Ⅲ 的緊急預(yù)警，稱其通過下載站大規(guī)模傳播，可能與 DDoS 攻擊相關(guān)并引發(fā)大規(guī)模攻擊事件。其實(shí)，今年5月9日，騰訊電腦管家已經(jīng)發(fā)布過一次“暗云Ⅲ”預(yù)警通知。雷鋒網(wǎng)了解到，此次再發(fā)緊急預(yù)警是因?yàn)槠浔O(jiān)測到近期暗云 Ⅲ感染規(guī)模的急劇擴(kuò)大。

該病毒通過感染磁盤 MBR 來實(shí)現(xiàn)開機(jī)啟動，騰訊電腦管家方面將其定性為：感染用戶數(shù)量巨大，是目前已知復(fù)雜度最高感染用戶數(shù)量最大的木馬之一。中毒用戶會成為受控“肉雞”，導(dǎo)致網(wǎng)絡(luò)變卡、用戶信息被竊取等安全問題。

暗云系列木馬病毒因使用多種復(fù)雜技術(shù)潛伏于用戶電腦中，在過去兩年間，不斷變種升級。2015年，爆發(fā)的第一代“暗云”木馬就“來勢洶洶”，用戶感染后即使重裝、格式化硬盤也無法清除，并且此病毒還兼容 X86、X64 兩種版本的 XP、Win7等操作系統(tǒng)。

據(jù)騰訊反病毒實(shí)驗(yàn)室的分析報(bào)告，暗云Ⅲ與之前版本相比有以下特點(diǎn)和區(qū)別：

第一、更加隱蔽，暗云Ⅲ依舊是無文件無注冊表，與暗云Ⅱ相比，取消了多個(gè)內(nèi)核鉤子，取消了對象劫持，變得更加隱蔽，即使專業(yè)人員，也難以發(fā)現(xiàn)其蹤跡。

第二、兼容性，由于該木馬主要通過掛鉤磁盤驅(qū)動器的StartIO來實(shí)現(xiàn)隱藏和保護(hù)病毒MBR，此類鉤子位于內(nèi)核很底層，不同類型、品牌的硬盤所需要的hook點(diǎn)不一樣，此版本木馬增加了更多判斷代碼，能夠感染市面上的絕大多數(shù)系統(tǒng)和硬盤。

第三、針對性對抗安全軟件，對安全廠商的“急救箱”類工具做專門對抗，通過設(shè)備名占坑的方式試圖阻止某些工具的加載運(yùn)行。

［三代暗云木馬比較］

［暗云Ⅲ 木馬啟動流程］

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。