近日,一个影响数十万计算机的危险木马被腾讯电脑管家较早时间拦截查杀。据悉,该木马是去年影响量超过百万的“暗云”木马较新变种,能使用多种复杂技术潜伏于电脑磁盘引导区中,并通过云端恶意代码攻击用户。该变种木马于今年4月份大规模爆发,致使全国数十万用户电脑被感染,被腾讯电脑管家安全专家命名为“暗云Ⅱ”。
据腾讯反病毒实验分析发现,“暗云Ⅱ”主要通过外挂、游戏辅助、私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使木马得以乘机植入。此外,“暗云Ⅱ”潜伏于用户电脑的磁盘引导区内并将主要代码存储在云端,可实时动态更新,通过劫持系统引导启动过程,下载推广恶意木马、锁定浏览器主页、篡改推广导航页ID等。
此前,腾讯反病毒实验室还曾检测到“暗云Ⅱ“着力扩散某木马,以进行网络攻击。一旦中招,用户电脑便会沦为“肉鸡”,无条件接受黑客的指令,攻击指定网站服务器等。通过监控发现,被攻击的服务器类型主要是网游私服。
经过分析,“暗云Ⅱ”在模块分工、技术对抗等方面与老暗云相比有着明显的晋级特征,在强化原本的隐蔽性、兼容性和云控外,暗云Ⅱ”增加了钩子守护、代码自校验等自保护措施,使得木马更加难以检测和清除;通过删减重复性功能代码、内核直接联网使木马更加精简稳定;电脑中毒后,电脑文件、注册表、桌面图标和浏览器主页等也不会有所变化,导致普通用户难以察觉,隐蔽性更强。
暗云”是2015年初大规模爆发的木马之一,被腾讯反病毒实验室首次捕获并查杀。该木马使用了很多复杂、新颖的技术长期地潜伏在用户计算机系统中。“暗云”通过使用BootKit技术,感染磁盘的引导区,感染后用户即使重装系统格式化硬盘也无法清除;并且兼容X86、X64两种版本的XP、Win7等操作系统,影响范围十分广泛,导致数以百万的计算机受感染。
腾讯反病毒实验室专家马劲松表示,广大用户不必对“暗云Ⅱ”感到恐慌,目前腾讯电脑管家已经能够准确检测和查杀暗云系列木马。未安装电脑管家的用户可通过以下三个症状初步判断是否中了暗云Ⅱ木马:一是发现安全软件报毒,清除文件后重启,电脑再次报毒;二是打开导航、购物等网站,网址被强加推广ID;三是发现电脑出现父进程非services.exe的svchost.exe进程。这些都是“暗云”系列木马的中毒表现,建议有以上任一症状的用户立即使用电脑管家专杀版进行体检杀毒。
