騰訊再發暗雲三大規模傳播緊急預警，稱其或與DDoS攻擊相關

導語：6月9日，騰訊電腦管家再次發布關於暗雲 Ⅲ 的緊急預警，稱其通過下載站大規模傳播，可能與 DDoS 攻擊相關並引發大規模攻擊事件。

本文作者：李勤

6月9日，騰訊電腦管家再次發布關於暗雲 Ⅲ 的緊急預警，稱其通過下載站大規模傳播，可能與 DDoS 攻擊相關並引發大規模攻擊事件。其實，今年5月9日，騰訊電腦管家已經發布過一次「暗雲Ⅲ」預警通知。雷鋒網(公眾號：雷鋒網)了解到，此次再發緊急預警是因為其監測到近期暗雲 Ⅲ感染規模的急劇擴大。

該病毒通過感染磁碟 MBR 來實現開機啟動，騰訊電腦管家方面將其定性為：感染用戶數量巨大，是目前已知複雜度最高感染用戶數量最大的木馬之一。中毒用戶會成為受控「肉雞」，導致網路變卡、用戶信息被竊取等安全問題。

暗雲系列木馬病毒因使用多種複雜技術潛伏於用戶電腦中，在過去兩年間，不斷變種升級。2015年，爆發的第一代「暗雲」木馬就「來勢洶洶」，用戶感染後即使重裝、格式化硬碟也無法清除，並且此病毒還兼容 X86、X64 兩種版本的 XP、Win7等操作系統。

據騰訊反病毒實驗室的分析報告，暗雲Ⅲ與之前版本相比有以下特點和區別：

第一、更加隱蔽，暗雲Ⅲ依舊是無文件無註冊表，與暗雲Ⅱ相比，取消了多個內核鉤子，取消了對象劫持，變得更加隱蔽，即使專業人員，也難以發現其蹤跡。

第二、兼容性，由於該木馬主要通過掛鉤磁碟驅動器的StartIO來實現隱藏和保護病毒MBR，此類鉤子位於內核很底層，不同類型、品牌的硬碟所需要的hook點不一樣，此版本木馬增加了更多判斷代碼，能夠感染市面上的絕大多數系統和硬碟。

第三、針對性對抗安全軟體，對安全廠商的「急救箱」類工具做專門對抗，通過設備名占坑的方式試圖阻止某些工具的載入運行。

［三代暗雲木馬比較］

［暗雲Ⅲ 木馬啟動流程］

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。歡迎熱情討論，轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！