警惕!暗云木马:最复杂的病毒,危害巨大且难以清除
1. 病毒简介
暗云木马是迄今为止最为复杂的木马之一,它感染的是硬盘MBR(主引导记录)——计算机开机时最先加载的程序位置。此时它还未加载,更别提它所依赖的杀毒软件了。因此,当计算机完成正常启动过程时,病毒已在内存中运行了很长时间,用一般方法极难清除。即使用户格式化并重装电脑硬盘,由于暗云病毒存在于硬盘MBR中,单纯格式化硬盘对病毒没有任何作用。
2.病毒危害
暗云木马是一种云端控制的木马病毒,云端可以下发指令动态控制被感染的机器,因此可以为所欲为,可以窃取用户账号、密码、虚拟财产等。目前,暗云3号木马程序控制的主机已形成大规模跨境僵尸网络,黑客不仅可以窃取网民个人隐私信息,还可以利用僵尸网络发起DDoS攻击,对互联网的稳定运行造成严重影响。
3. 终端验证
Dark Cloud 木马采用一种新技术,无文件、无注册表、无进程,因此很难发现和清除。进程跟踪在这里根本不起作用。
1. 磁盘
在问题主机上使用软件(百度软件中心下载)解析系统盘,检查特征字符串是否存在。
下拉“工具”选项,点击“打开磁盘”,打开系统磁盘:
按“Ctrl”+“F”打开搜索功能,输入特征字符串“”
如果存在,那么就有问题。
2.使用数据包捕获查看解析的字符串
4. 检查并杀灭
1.安田特殺手:
(1)使用PE镜像模式启动操作系统(建议使用大白菜作为PE工具,这里不再赘述)
(2)在WinPE启动环境中,运行安天(暗云三)专杀工具,点击“开始修复”按钮,当显示MBR被“暗云三”修改时,提示是否修复木马专杀工具,点击“确定”按钮,开始修复
(3)扫描完成后,点击“威胁清除”按钮,清除检测到的“暗云三号”恶意代码
(4)重新启动操作系统,完成修复
下载链接:
安天专杀工具说明:我跟安天的人直接确认过,此专杀工具不支持Win10,有蓝屏风险,不能保证彻底清理,不能保证系统无法启动等。PE镜像启动是指需要客户有USB PE系统或者光盘PE系统,插入被感染主机后,主机会从PE启动。
2.深度格式化后重新安装系统
移除被感染主机的硬盘,将其挂载到干净的系统中,执行全盘深度格式化,然后重新安装系统。此方法干净彻底。记得备份必要的文档和数据。
