“暗云”系列木馬堪稱迄今為止最復雜的木馬種類之一,從2015年初被騰訊電腦管家首次捕獲并查殺后,該木馬不斷更新迭代,持續對抗升級,變種接連而至。今年4月,多名網友向騰訊電腦管家反饋,在玩某射擊游戲時,電腦突發卡頓問題。騰訊電腦管家發現,造成電腦卡頓的元兇正是暗云系列木馬,因與“暗云Ⅱ”相比繼續進化,被命名為“暗云Ⅲ”。目前,騰訊電腦管家已推出專殺版本,可準確檢測和查殺暗云系列木馬。
(騰訊電腦管家查殺“暗云Ⅲ”)
在對中招電腦進行檢測的過程中,騰訊電腦管家安全研究人員發現,“暗云Ⅲ”啟動過程與以往相同,都是由MBR開始通過int 15中斷一步步的hook來跟隨系統的引導流程進入系統內核執行,而該套代碼可兼容XP、Vista、Win7、Win8等主流操作系統,包括64位和32位。一旦“暗云Ⅲ”入侵,用戶電腦中將潛伏一個后門程序,而該后門程序能篡改系統內核信息,容易導致玩游戲時出現卡頓問題。
騰訊電腦管家安全研究人員通過對比發現,本次爆發的暗云木馬與之前的版本有比較明顯的晉級特征,在隱蔽性、兼容性以及對抗安全軟件的能力上均進一步提升。“暗云Ⅲ”依舊是無文件無注冊表,取消了多個內核鉤子和對象劫持,使其變得更加隱蔽,即使專業人員也難以發現其蹤跡;由于該木馬主要通過掛鉤磁盤驅動器的StartIO來實現隱藏和保護病毒MBR,而此類鉤子位于內核很底層,不同類型、品牌的硬盤所需要的hook點不一樣,且“暗云Ⅲ”增加了更多判斷代碼,能夠感染市面上的絕大多數硬盤;此外,“暗云Ⅲ”對安全廠商的“急救箱”類工具做專門對抗,通過設備名占坑的方式試圖阻止某些工具的加載運行。
(“暗云”系列木馬)
暗云木馬在2015年年初爆發,影響了近百萬計算機。該木馬能夠使用多種復雜技術潛伏于電腦磁盤引導區中,通過云端數據下載病毒代碼向電腦發起攻擊,并可破壞殺毒軟件功能,即便用戶格式化硬盤也難以清除,堪稱當年影響最大的病毒木馬之一。在暗云木馬爆發后,騰訊電腦管家第一時間跟進,并及時攔截查殺。從2015年至今,騰訊電腦管家時刻保持對該木馬的監測,并成功在業內率先攔殺“暗云Ⅱ”和此次爆發的“暗云Ⅲ”。
(騰訊電腦管家“暗云Ⅲ”專殺工具)
騰訊安全反病毒實驗室專家馬勁松表示,“暗云”系列木馬主要通過外掛、游戲輔助、私服登錄器等傳播,此類軟件通常誘導用戶關閉安全軟件后使用,使木馬得以乘機植入。建議廣大游戲玩家持續保持騰訊電腦管家等安全類軟件開啟狀態,不要運行來源不明和被安全軟件報毒的程序。目前,騰訊電腦管家已經能夠準確檢測和查殺暗云系列木馬,網友可在騰訊電腦管家官網下載“暗云”專殺版處理該木馬。
