暗云

一个影响百万计算机的危险木马被第一时间拦截查杀。据悉，该木马能够使用多种复杂技术潜伏于电脑磁盘引导区中，并通过云端攻击危害用户，是迄今为止最复杂的木马之一，被腾讯电脑管家安全专家命名为“暗云”。“暗云”木马并没有具体的文件形态，它潜伏于用户电脑的磁盘引导区内，通过云端数据下载病毒代码向电脑发起攻击，并可破坏杀毒软件功能，即便用户格式化硬盘也难以清除，查杀该木马的技术难度超越之前的“鬼影”病毒。

常驻计算机模块（MBR）行为

电脑开机后，受感染的磁盘MBR第一时间获得CPU的控制权，其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行，木马主体获得执行后通过挂钩int 15中断来获取第二次执行的机会，随后读取第二扇区中的备份MBR正常地引导系统启动。系统引导启动时会通过int 15中断查询内存信息，此时挂钩15号中断的木马便得以第二次获得CPU控制权，获得控制权后木马挂钩BILoadImageEx函数，调用原始15号中断并将控制权交回给系统继续引导。当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时，木马便第三次获得控制权，获得控制权后木马再一次执行挂钩操作，此次挂钩的位置是ntoskrnl.exe的入口点，随后将控制权交给系统继续引导。当引导完毕进入windows内核时，挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权，此时木马已真正进入windows内核中，获得控制权后，分配一块内存空间，将木马内核的主功能代码拷贝到分配的空间中，并通过创建PsSetCreateThreadNotifyRoutine回调的方式使主功能代码得以执行。至此完成木马由MBR到windows内核的加载过程。

如果发现电脑存在下列症状，最好使用杀毒软件查杀暗云木马：

1、 桌面出现“美女视频直播”快捷方式；^[2]

2、 访问网址后面自动加上了一个奇怪的字符串；

3、 电脑出现过RUNDLL错误提示框；

4、安卓手机连接电脑后莫名其妙装上haomm等应用，电脑里查出xnfbase.dll、thpro32.dll等文件，或者你所在qq群出现由你分享的私服游戏（实际上是木马利用qq漏洞上传的）；

暗云木马查杀(3)5、由于暗云木马感染了MBR（磁盘主引导区），即使重装系统，MBR里的恶意代码还会联网下载木马病毒进来，电脑中毒症状会再次出现。^[2]

近日，纪录片《大国重器》（第二季）正式回归，影片中腾讯安全联合实验室便向观众全面还原了2017年影响用户人数最大的“暗云Ⅲ”木马攻防战。^[3]

一个名叫“暗云”的木马被媒体热炒，据称该木马查杀难度很高，即使重装系统也无法彻底清除。其实暗云木马和前些年流行的鬼影系列木马一样，都是通过感染磁盘主引导区（MBR）顽固驻留，因此查杀暗云木马也需要对症下药^[2]。

曾影响百万用户电脑的“暗云”系列病毒再度变种来袭。近日，腾讯电脑管家发现一个后门程序潜伏在用户电脑，因其篡改系统内核信息，导致多个玩家玩某游戏时出现卡死问题。经腾讯电脑管家安全专家分析发现，该后门程序为腾讯电脑管家于2015年1月首次发现并命名的暗云系列病毒木马，并且与暗云II相比出现新的进化特征，升级为“暗云III”

2017年6月9日至今，中国国家互联网应急中心监测发现中国境内有160余万台电脑感染了此木马。为此，中国国家互联网应急中心首次开通了“暗云”木马感染数据免费查询服务，点击网址即可查询使用的IP地址是否受到木马感染。^[1]

暗云木马(5)