“暗云”系列木马堪称迄今为止最复杂的木马种类之一,从 2015 年初被腾讯电脑管家首次捕获并查杀后,该木马不断更新迭代,持续对抗升级,变种接连而至。今年 4 月,多名网友向腾讯电脑管家反馈,在玩某射击游戏时,电脑突发卡顿问题。腾讯电脑管家发现,造成电脑卡顿的元凶正是暗云系列木马,因与“暗云Ⅱ”相比继续进化,被命名为“暗云Ⅲ”。目前,腾讯电脑管家已推出专杀版本,可准确检测和查杀暗云系列木马。
(腾讯电脑管家查杀“暗云Ⅲ”)
在对中招电脑进行检测的过程中,腾讯电脑管家安全研究人员发现,“暗云Ⅲ”启动过程与以往相同,都是由MBR开始通过int15 中断一步步的hook来跟随系统的引导流程进入系统内核执行,而该套代码可兼容XP、Vista、Win7、Win8 等主流操作系统,包括 64 位和 32 位。一旦“暗云Ⅲ”入侵,用户电脑中将潜伏一个后门程序,而该后门程序能篡改系统内核信息,容易导致玩游戏时出现卡顿问题。
腾讯电脑管家安全研究人员通过对比发现,本次爆发的暗云木马与之前的版本有比较明显的晋级特征,在隐蔽性、兼容性以及对抗安全软件的能力上均进一步提升。“暗云Ⅲ”依旧是无文件无注册表,取消了多个内核钩子和对象劫持,使其变得更加隐蔽,即使专业人员也难以发现其踪迹;由于该木马主要通过挂钩磁盘驱动器的StartIO来实现隐藏和保护病毒MBR,而此类钩子位于内核很底层,不同类型、品牌的硬盘所需要的hook点不一样,且“暗云Ⅲ”增加了更多判断代码,能够感染市面上的绝大多数硬盘;此外,“暗云Ⅲ”对安全厂商的“急救箱”类工具做专门对抗,通过设备名占坑的方式试图阻止某些工具的加载运行。
(“暗云”系列木马)
暗云木马在 2015 年年初爆发,影响了近百万计算机。该木马能够使用多种复杂技术潜伏于电脑磁盘引导区中,通过云端数据下载病毒代码向电脑发起攻击,并可破坏杀毒软件功能,即便用户格式化硬盘也难以清除,堪称当年影响最大的病毒木马之一。在暗云木马爆发后,腾讯电脑管家第一时间跟进,并及时拦截查杀。从 2015 年至今,腾讯电脑管家时刻保持对该木马的监测,并成功在业内率先拦杀“暗云Ⅱ”和此次爆发的“暗云Ⅲ”。
(腾讯电脑管家“暗云Ⅲ”专杀工具)
腾讯安全反病毒实验室专家马劲松表示,“暗云”系列木马主要通过外挂、游戏辅助、私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使木马得以乘机植入。建议广大游戏玩家持续保持腾讯电脑管家等安全类软件开启状态,不要运行来源不明和被安全软件报毒的程序。目前,腾讯电脑管家已经能够准确检测和查杀暗云系列木马,网友可在腾讯电脑管家官网下载“暗云”专杀版处理该木马。
(推广)