久久精品无码人妻A级毛片玉甫团,殴美日韩特黄三极三极,精品国产无码久

　　今年4月，國內網友在玩某射擊游戲時陸續出現電腦卡頓的現象，而隨著時間的推移，類似的情況不斷發生。騰訊電腦管家在接到網友求助后，第一時間監測并跟進調查，發現造成電腦卡頓的元兇系通過感染磁盤MBR來實現開機啟動的暗云木馬最新變種——“暗云Ⅲ”BootKit木馬。目前，騰訊電腦管家已經能夠準確檢測和查殺暗云系列木馬，網友可在騰訊電腦管家官網下載“暗云”專殺版處理該木馬。

(騰訊電腦管家查殺“暗云Ⅲ”)

　　作為一個特殊空間，MBR是磁盤主引導記錄，它不屬于磁盤上的任何分區，而一旦MBR出現惡意代碼，即使重裝系統也無法清除，一般情況下需要使用安全軟件對MBR進行清理修復。目前暗云系列木馬均通過感染磁盤MBR來實現開機啟動，由MBR開始通過int 15中斷一步步的hook來跟隨系統的引導流程進入系統內核執行，該套代碼可兼容XP、Vista、Win7、Win8等主流操作系統，包括64位和32位。

(暗云系列 BootKit 啟動過程示意圖)

　　暗云系列木馬通常借助外掛、游戲輔助、私服登錄器等傳播，此類軟件會誘導用戶關閉安全軟件后使用，這樣木馬就可乘機植入。一旦用戶中招，將遭遇系統運行變慢、賬號被盜、主頁被鎖、惡意推廣等問題，嚴重者可能會受到網絡攻擊。目前，“暗云Ⅲ”的主要影響是刷流量和攻擊網站，不法分子也可隨時進行更新，從而做各種惡意行為，對用戶電腦造成嚴重的安全隱患。

　　“暗云Ⅲ”爆發后，騰訊電腦管家安全研究人員在第一時間進行監測并分析。首先，在“暗云Ⅲ”進入Windows內核后，會立即執行一段代碼，通過磁盤鉤子、定時器守護等一系列操作保護惡意的磁盤MBR不被檢測和修改。同時，該木馬還會在內核中直接聯網下載代碼，解壓尾部數據來得到一個“playload.dll”，并嘗試以APC的方式向應用層指定進程插入該dll文件。成功插入后，該dll就可以從云端下載配置文件，實現包括刪除指定服務，指定注冊表，下載指定文件加載、運行、注入等功能。研究人員還對比“暗云Ⅱ”和“暗云Ⅲ”配置文件中的Version字段，發現當前版本已經達到624，證明“暗云Ⅲ”不僅持續活躍，而且更新頻繁。

(三代暗云木馬比較)

　　事實上，“暗云”系列木馬自2015年初被騰訊電腦管家首次捕獲并查殺，至今已有2年多。隨著技術的升級，該木馬不斷更新迭代，在隱蔽性、兼容性以及對抗安全軟件的能力上均與之前版本有了比較明顯的晉級特征。“暗云Ⅲ”無文件無注冊表，取消了多個內核鉤子、對象劫持，隱蔽性更強;由于“暗云Ⅲ”主要通過掛鉤磁盤驅動器的StartIO來實現隱藏和保護病毒MBR，而此類鉤子位于內核很底層，不同類型、品牌的硬盤所需要的hook點不一樣，同時木馬增加了更多判斷代碼，能夠感染市面上的絕大多數系統和硬盤;為了對抗安全廠商的“急救箱”類工具，“暗云Ⅲ”還能通過搶先注冊名稱的方式阻止急救箱正常功能開啟，而其設備名稱就是急救箱里面會用到的底層設備名稱。

　　騰訊安全反病毒實驗室專家馬勁松表示，廣大用戶不必對“暗云”系列木馬感到恐慌，目前騰訊電腦管家已經能夠準確檢測和查殺這類木馬。同時，建議網友在上網時應保持騰訊電腦管家等安全軟件開啟狀態，不要運行來源不明和被安全軟件報毒的程序。