腾讯再发暗云 Ⅲ 大规模传播紧急预警,称其或与DDoS 攻击相关

摘要

6月9日,腾讯电脑管家再次发布关于暗云 Ⅲ 的紧急预警,称其通过下载站大规模传播,可能与 DDoS 攻击相关并引发大规模攻击事件。其实,今年5月9日,腾讯电脑管家已经发布过一次“暗云Ⅲ”预警通知。雷锋网 (公众号:雷锋网) 了解到,此次再发紧急预警是因为其监测到近期暗云 Ⅲ感染规模的急剧扩大。

该病毒通过感染磁盘 MBR 来实现开机启动,腾讯电脑管家方面将其定性为:感染用户数量巨大,是目前已知复杂度最高感染用户数量最大的木马之一。中毒用户会成为受控“肉鸡”,导致网络变卡、用户信息被窃取等安全问题。

暗云系列木马病毒因使用多种复杂技术潜伏于用户电脑中,在过去两年间,不断变种升级。2015年,爆发的第一代“暗云”木马就“来势汹汹”,用户感染后即使重装、格式化硬盘也无法清除,并且此病毒还兼容 X86、X64 两种版本的 XP、Win7等操作系统。

据腾讯反病毒实验室的分析报告,暗云Ⅲ与之前版本相比有以下特点和区别:

第一、更加隐蔽,暗云Ⅲ依旧是无文件无注册表,与暗云Ⅱ相比,取消了多个内核钩子,取消了对象劫持,变得更加隐蔽,即使专业人员,也难以发现其踪迹。

第二、兼容性,由于该木马主要通过挂钩磁盘驱动器的StartIO来实现隐藏和保护病毒MBR,此类钩子位于内核很底层,不同类型、品牌的硬盘所需要的hook点不一样,此版本木马增加了更多判断代码,能够感染市面上的绝大多数系统和硬盘。

第三、针对性对抗安全软件,对安全厂商的“急救箱”类工具做专门对抗,通过设备名占坑的方式试图阻止某些工具的加载运行。

腾讯再发暗云 Ⅲ 大规模传播紧急预警,称其或与DDoS 攻击相关

[三代暗云木马比较]

腾讯再发暗云 Ⅲ 大规模传播紧急预警,称其或与DDoS 攻击相关

[暗云Ⅲ 木马启动流程]

雷锋网原创文章,未经授权禁止转载。详情见 转载须知

腾讯再发暗云 Ⅲ 大规模传播紧急预警,称其或与DDoS 攻击相关

6月9日,腾讯电脑管家再次发布关于暗云 Ⅲ 的紧急预警,称其通过下载站大规模传播,可能与 DDoS 攻击相关并引发大规模攻击事件。其实,今年5月9日,腾讯电脑管家已经发布过一次“暗云Ⅲ”预警通知。雷锋网 (公众号:雷锋网) 了解到,此次再发紧急预警是因为其监测到近期暗云 Ⅲ感染规模的急剧扩大。

该病毒通过感染磁盘 MBR 来实现开机启动,腾讯电脑管家方面将其定性为:感染用户数量巨大,是目前已知复杂度最高感染用户数量最大的木马之一。中毒用户会成为受控“肉鸡”,导致网络变卡、用户信息被窃取等安全问题。

暗云系列木马病毒因使用多种复杂技术潜伏于用户电脑中,在过去两年间,不断变种升级。2015年,爆发的第一代“暗云”木马就“来势汹汹”,用户感染后即使重装、格式化硬盘也无法清除,并且此病毒还兼容 X86、X64 两种版本的 XP、Win7等操作系统。

据腾讯反病毒实验室的分析报告,暗云Ⅲ与之前版本相比有以下特点和区别:

第一、更加隐蔽,暗云Ⅲ依旧是无文件无注册表,与暗云Ⅱ相比,取消了多个内核钩子,取消了对象劫持,变得更加隐蔽,即使专业人员,也难以发现其踪迹。

第二、兼容性,由于该木马主要通过挂钩磁盘驱动器的StartIO来实现隐藏和保护病毒MBR,此类钩子位于内核很底层,不同类型、品牌的硬盘所需要的hook点不一样,此版本木马增加了更多判断代码,能够感染市面上的绝大多数系统和硬盘。

第三、针对性对抗安全软件,对安全厂商的“急救箱”类工具做专门对抗,通过设备名占坑的方式试图阻止某些工具的加载运行。

腾讯再发暗云 Ⅲ 大规模传播紧急预警,称其或与DDoS 攻击相关

[三代暗云木马比较]

腾讯再发暗云 Ⅲ 大规模传播紧急预警,称其或与DDoS 攻击相关

[暗云Ⅲ 木马启动流程]

雷锋网原创文章,未经授权禁止转载。详情见 转载须知

腾讯再发暗云 Ⅲ 大规模传播紧急预警,称其或与DDoS 攻击相关