“暗云”是2015年出现的最复杂的木马之一,当时该木马使用了很多复杂的、新颖的技术长期潜伏在用户的计算机系统中。其使用的BootKit技术直接感染磁盘的引导区,感染后用户即使重装、格式化硬盘也无法清除;并且此病毒还兼容X86、X64两种版本的XP、Win7等操作系统,影响范围十分广泛,曾有数以百万的计算机遭受感染。2015年初,该木马被腾讯反病毒实验室首次捕获并查杀。
比暗云更黑的暗云Ⅱ
时隔一年多,“暗云”木马卷土重来,于今年上半年再次大规模爆发,全国数十万用户电脑被感染。新发现的“暗云”木马在模块分工、技术对抗等方面与老暗云相比有着明显的晋级特征,在强化原本的隐蔽性、兼容性和云控外,木马运行更趋稳定,并且难以清除。因此本次爆发的木马被命名为“暗云Ⅱ”。
暗云过境,危机四伏
暗云Ⅱ”将主要代码存储在云端,可实时动态更新,其功能目前主要有下载推广恶意木马、锁定浏览器主页、篡改推广导航页id等。近日,腾讯反病毒实验室检测到“暗云Ⅱ“正着力扩散某木马,以进行网络攻击。一旦中招,用户电脑便会沦为“肉鸡”,无条件接受黑客的指令,攻击指定网站服务器等。目前通过监控发现,被攻击的服务器类型主要是网游私服。
新老暗云,身世解码
新老暗云木马的相同点:一是木马都隐藏在磁盘引导区;二是都通过劫持系统引导启动过程;三是木马功能主要都是推广下载恶意木马、锁定浏览器主页、篡改导航页推广id等。
新暗云特点:一是顽固性增强,难以清除,“暗云Ⅱ”增加钩子守护、代码自校验等自保护措施,一旦检测到威胁立即重启机器;二是稳定性更好,删减重复性功能代码、内核直接联网使木马更加精简稳定;三是隐蔽性更强,电脑中毒后,文件、注册表、桌面图标和浏览器主页等均没有变化,普通用户难以察觉。
拨开暗云见曙光
目前腾讯电脑管家可查杀“暗云Ⅱ”木马。普通用户也可通过以下办法来检测自己电脑是否感染“暗云”系列木马:一是发现安全软件报毒,清除文件后重启,电脑再次报毒;二是打开导航、购物等网站,网址被强加推广id;三是发现电脑出现父进程非services.exe的svchost.exe进程。上述任意一种情形,都是“暗云”系列木马的中毒表现,建议用户立即使用电脑管家专杀版进行体检杀毒。