金山MBR主引導暗云木馬專殺工具

最近臭名昭著的暗云木馬被發(fā)現(xiàn)出現(xiàn)了多個變種，金山毒霸特推出了金山MBR主引導暗云木馬專殺工具，這個木馬會感染硬盤主引導記錄，這會導致你就算格式化硬盤也不能清除這個病毒。如果擔心電腦會中這個木馬趕緊來西西下載這款軟件給電腦加層保護吧。

暗云木馬介紹：

暗云木馬是迄今為止最復雜的木馬之一，曾經感染過數(shù)百萬電腦，它用了很多復雜的新技術來長期潛伏在系統(tǒng)中，尤其是借助BootKit直接感染硬盤引導分區(qū)。

攻擊者精心制作的這個惡意程序功能復雜，開發(fā)技巧很高，采用多種技術方案對抗安全軟件，并且更新頻繁。

據(jù)悉，最新的木安云馬變種會將攻擊母體捆綁在游戲外掛或私服工具中，或者干脆假冒游戲外掛和私服工具，欺騙游戲玩家下載安裝，并通過聯(lián)網獲得攻擊指令。病毒作者可以非常靈活地控制中毒電腦，執(zhí)行任意操作。

暗云病毒感染后，會立刻感染硬盤MBR(主引導記錄)——這是電腦開機時最早加載的程序位置，此時Windows尚未被加載，更不用說依賴Windows的殺毒軟件了，所以當電腦完成正常開機過程后，病毒已在內存運行多時了，一般方法極難清除。

就算用戶將電腦硬盤格式化重裝，因為暗云病毒存在于硬盤MBR，僅僅格式化硬盤不會對病毒造成任何影響。

安全專家解釋說：“暗云病毒通過聯(lián)網下載攻擊指令，再將攻擊代碼在內存中運行，并不在本地硬盤上生成文件完成破壞或攻擊目的。這是一種高超的攻擊技巧，本地找不到完成攻擊的文件，指令只在內存中，隨時可以通過網絡更換攻擊方式。目前，我們監(jiān)測到的攻擊代碼是刷流量牟利，以及發(fā)起DDoS攻擊�！�

暗云木馬技術特點：

第一、隱蔽性非常高，通過Hook磁盤驅動實現(xiàn)對已感染的MBR進行保護，防止被安全軟件檢測和清除，并且使用對象劫持技術躲避安全人員的手工檢測。隱蔽性極高，截至目前為止，幾乎所有的安全軟件都無法檢測和查殺該木馬。

第二、云思想在暗云木馬中的使用：木馬以輕量級的身軀隱藏于磁盤最前端的30個扇區(qū)中，這些常駐與系統(tǒng)中代碼并沒有傳統(tǒng)木馬的功能，這些代碼的功能僅僅是到執(zhí)行的服務器（云端）下載其他功能代碼到內存中直接執(zhí)行，這些功能模塊每次開機都由隱藏的模塊從云端下載。因此木馬體積小巧，且云端控制性強。

第三，Ring 3與Ring 0的通信方式：微軟正統(tǒng)的通信方式是Ring 0代碼創(chuàng)建驅動設備，Ring 3代碼通過打開Ring 0創(chuàng)建的設備開實現(xiàn)相互之間的通信。常見的木馬使用的通信方式則是在Ring0對指定的API函數(shù)進行Hook，而暗云木馬是通過注冊回調的方式來實現(xiàn)。

第四，操作系統(tǒng)全量兼容：一份BootKit同時兼容x86、x64兩種版本的操作系統(tǒng)，且能夠兼容xp、win7等當前主流的操作系統(tǒng)版本，因此影響范圍十分廣泛。在推廣獲利方面，該木馬也是涵蓋當前主流的推廣獲利渠道——推廣小網站、推廣手機應用、推廣游戲、大網站加推廣ID。

第五，有效對抗殺軟：有于木馬的主體在內核中運行，且啟動時間比所有的安全軟件都早，因此大部分的安全軟件無法攔截和檢測該木馬的惡意行為。木馬能夠在內核中直接結束部分安全軟件進程，同時可以向任意安全軟件進程插入APC執(zhí)行。插入的APC代碼會關閉安全軟件的文件監(jiān)控設備句柄，會導致安全軟件文件監(jiān)控失效，大大減少了被檢測的機率。