“暗云Ⅲ”可令電腦內(nèi)置后門程序 影響覆蓋主流Windows系統(tǒng)

“暗云”系列木馬堪稱迄今為止最復(fù)雜的木馬種類之一，從2015年初被騰訊電腦管家首次捕獲并查殺后，該木馬不斷更新迭代，持續(xù)對(duì)抗升級(jí)，變種接連而至。今年4月，多名網(wǎng)友向騰訊電腦管家反饋，在玩某射擊游戲時(shí)，電腦突發(fā)卡頓問題。騰訊電腦管家發(fā)現(xiàn)，造成電腦卡頓的元兇正是暗云系列木馬，因與“暗云Ⅱ”相比繼續(xù)進(jìn)化，被命名為“暗云Ⅲ”。目前，騰訊電腦管家已推出專殺版本，可準(zhǔn)確檢測(cè)和查殺暗云系列木馬。

在對(duì)中招電腦進(jìn)行檢測(cè)的過程中，騰訊電腦管家安全研究人員發(fā)現(xiàn)，“暗云Ⅲ”啟動(dòng)過程與以往相同，都是由MBR開始通過int 15中斷一步步的hook來(lái)跟隨系統(tǒng)的引導(dǎo)流程進(jìn)入系統(tǒng)內(nèi)核執(zhí)行，而該套代碼可兼容XP、Vista、Win7、Win8等主流操作系統(tǒng)，包括64位和32位。一旦“暗云Ⅲ”入侵，用戶電腦中將潛伏一個(gè)后門程序，而該后門程序能篡改系統(tǒng)內(nèi)核信息，容易導(dǎo)致玩游戲時(shí)出現(xiàn)卡頓問題。

騰訊電腦管家安全研究人員通過對(duì)比發(fā)現(xiàn)，本次爆發(fā)的暗云木馬與之前的版本有比較明顯的晉級(jí)特征，在隱蔽性、兼容性以及對(duì)抗安全軟件的能力上均進(jìn)一步提升。“暗云Ⅲ”依舊是無(wú)文件無(wú)注冊(cè)表，取消了多個(gè)內(nèi)核鉤子和對(duì)象劫持，使其變得更加隱蔽，即使專業(yè)人員也難以發(fā)現(xiàn)其蹤跡;由于該木馬主要通過掛鉤磁盤驅(qū)動(dòng)器的StartIO來(lái)實(shí)現(xiàn)隱藏和保護(hù)病毒MBR，而此類鉤子位于內(nèi)核很底層，不同類型、品牌的硬盤所需要的hook點(diǎn)不一樣，且“暗云Ⅲ”增加了更多判斷代碼，能夠感染市面上的絕大多數(shù)硬盤;此外，“暗云Ⅲ”對(duì)安全廠商的“急救箱”類工具做專門對(duì)抗，通過設(shè)備名占坑的方式試圖阻止某些工具的加載運(yùn)行。

暗云木馬在2015年年初爆發(fā)，影響了近百萬(wàn)計(jì)算機(jī)。該木馬能夠使用多種復(fù)雜技術(shù)潛伏于電腦磁盤引導(dǎo)區(qū)中，通過云端數(shù)據(jù)下載病毒代碼向電腦發(fā)起攻擊，并可破壞殺毒軟件功能，即便用戶格式化硬盤也難以清除，堪稱當(dāng)年影響最大的病毒木馬之一。在暗云木馬爆發(fā)后，騰訊電腦管家第一時(shí)間跟進(jìn)，并及時(shí)攔截查殺。從2015年至今，騰訊電腦管家時(shí)刻保持對(duì)該木馬的監(jiān)測(cè)，并成功在業(yè)內(nèi)率先攔殺“暗云Ⅱ”和此次爆發(fā)的“暗云Ⅲ”。

騰訊安全反病毒實(shí)驗(yàn)室專家馬勁松表示，“暗云”系列木馬主要通過外掛、游戲輔助、私服登錄器等傳播，此類軟件通常誘導(dǎo)用戶關(guān)閉安全軟件后使用，使木馬得以乘機(jī)植入。建議廣大游戲玩家持續(xù)保持騰訊電腦管家等安全類軟件開啟狀態(tài)，不要運(yùn)行來(lái)源不明和被安全軟件報(bào)毒的程序。目前，騰訊電腦管家已經(jīng)能夠準(zhǔn)確檢測(cè)和查殺暗云系列木馬，網(wǎng)友可在騰訊電腦管家官網(wǎng)下載“暗云”專殺版處理該木馬。