金山MBR主引導(dǎo)暗云木馬專殺工具

最近臭名昭著的暗云木馬被發(fā)現(xiàn)出現(xiàn)了多個變種，金山毒霸特推出了金山MBR主引導(dǎo)暗云木馬專殺工具，這個木馬會感染硬盤主引導(dǎo)記錄，這會導(dǎo)致你就算格式化硬盤也不能清除這個病毒。如果擔(dān)心電腦會中這個木馬趕緊來西西下載這款軟件給電腦加層保護(hù)吧。

暗云木馬介紹：

暗云木馬是迄今為止最復(fù)雜的木馬之一，曾經(jīng)感染過數(shù)百萬電腦，它用了很多復(fù)雜的新技術(shù)來長期潛伏在系統(tǒng)中，尤其是借助BootKit直接感染硬盤引導(dǎo)分區(qū)。

攻擊者精心制作的這個惡意程序功能復(fù)雜，開發(fā)技巧很高，采用多種技術(shù)方案對抗安全軟件，并且更新頻繁。

據(jù)悉，最新的木安云馬變種會將攻擊母體捆綁在游戲外掛或私服工具中，或者干脆假冒游戲外掛和私服工具，欺騙游戲玩家下載安裝，并通過聯(lián)網(wǎng)獲得攻擊指令。病毒作者可以非常靈活地控制中毒電腦，執(zhí)行任意操作。

暗云病毒感染后，會立刻感染硬盤MBR(主引導(dǎo)記錄)——這是電腦開機(jī)時最早加載的程序位置，此時Windows尚未被加載，更不用說依賴Windows的殺毒軟件了，所以當(dāng)電腦完成正常開機(jī)過程后，病毒已在內(nèi)存運(yùn)行多時了，一般方法極難清除。

就算用戶將電腦硬盤格式化重裝，因為暗云病毒存在于硬盤MBR，僅僅格式化硬盤不會對病毒造成任何影響。

安全專家解釋說：“暗云病毒通過聯(lián)網(wǎng)下載攻擊指令，再將攻擊代碼在內(nèi)存中運(yùn)行，并不在本地硬盤上生成文件完成破壞或攻擊目的。這是一種高超的攻擊技巧，本地找不到完成攻擊的文件，指令只在內(nèi)存中，隨時可以通過網(wǎng)絡(luò)更換攻擊方式。目前，我們監(jiān)測到的攻擊代碼是刷流量牟利，以及發(fā)起DDoS攻擊�！�

暗云木馬技術(shù)特點：

第一、隱蔽性非常高，通過Hook磁盤驅(qū)動實現(xiàn)對已感染的MBR進(jìn)行保護(hù)，防止被安全軟件檢測和清除，并且使用對象劫持技術(shù)躲避安全人員的手工檢測。隱蔽性極高，截至目前為止，幾乎所有的安全軟件都無法檢測和查殺該木馬。

第二、云思想在暗云木馬中的使用：木馬以輕量級的身軀隱藏于磁盤最前端的30個扇區(qū)中，這些常駐與系統(tǒng)中代碼并沒有傳統(tǒng)木馬的功能，這些代碼的功能僅僅是到執(zhí)行的服務(wù)器（云端）下載其他功能代碼到內(nèi)存中直接執(zhí)行，這些功能模塊每次開機(jī)都由隱藏的模塊從云端下載。因此木馬體積小巧，且云端控制性強(qiáng)。

第三，Ring 3與Ring 0的通信方式：微軟正統(tǒng)的通信方式是Ring 0代碼創(chuàng)建驅(qū)動設(shè)備，Ring 3代碼通過打開Ring 0創(chuàng)建的設(shè)備開實現(xiàn)相互之間的通信。常見的木馬使用的通信方式則是在Ring0對指定的API函數(shù)進(jìn)行Hook，而暗云木馬是通過注冊回調(diào)的方式來實現(xiàn)。

第四，操作系統(tǒng)全量兼容：一份BootKit同時兼容x86、x64兩種版本的操作系統(tǒng)，且能夠兼容xp、win7等當(dāng)前主流的操作系統(tǒng)版本，因此影響范圍十分廣泛。在推廣獲利方面，該木馬也是涵蓋當(dāng)前主流的推廣獲利渠道——推廣小網(wǎng)站、推廣手機(jī)應(yīng)用、推廣游戲、大網(wǎng)站加推廣ID。

第五，有效對抗殺軟：有于木馬的主體在內(nèi)核中運(yùn)行，且啟動時間比所有的安全軟件都早，因此大部分的安全軟件無法攔截和檢測該木馬的惡意行為。木馬能夠在內(nèi)核中直接結(jié)束部分安全軟件進(jìn)程，同時可以向任意安全軟件進(jìn)程插入APC執(zhí)行。插入的APC代碼會關(guān)閉安全軟件的文件監(jiān)控設(shè)備句柄，會導(dǎo)致安全軟件文件監(jiān)控失效，大大減少了被檢測的機(jī)率。