首页中心介绍学校邮箱VPN账户上网认证无线网络业务申请常用下载规章制度常见问题联系我们学校主页
当前位置: 首页 > 网络安全 > 安全知识与动态 > 正文
站内搜索:
“暗云”木马处理方案
 

暗云(计算机木马)

“暗云”(“暗云III”是“暗云”进化出的第三个版本)是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装格式化硬盘也无法清除。国内权威安全评测机构PCSL,针对“暗云”对各大安全厂商做了一次详尽评估,其中腾讯电脑管家和金山毒霸等已可防御。

 

出现方式

如果发现电脑存在下列症状,最好使用杀毒软件查杀暗云木马:

1.       桌面出现“美女视频直播”快捷方式;

2.       访问baidu.com时网址后面自动加上了一个奇怪的字符串;

3.       电脑出现过RUNDLL错误提示框;

4.       安卓手机连接电脑后莫名其妙装上haomm等应用,电脑里查出xnfbase.dllthpro32.dll等文件,或者你所在qq群出现由你分享的私服游戏(实际上是木马利用qq漏洞上传的);

5.       由于暗云木马感染了MBR(磁盘主引导区),即使重装系统,MBR里的恶意代码还会联网下载木马病毒进来,电脑中毒症状会再次出现。

 

警惕!常驻计算机模块(MBR)行为

感染“暗云”木马的计算机开机后,受感染的磁盘MBR第一时间获得CPU的控制权,其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行,木马主体获得执行后通过挂钩int 15中断来获取第二次执行的机会,随后读取第二扇区中的备份MBR正常地引导系统启动。系统引导启动时会通过int 15中断查询内存信息,此时挂钩15号中断的木马便得以第二次获得CPU控制权,获得控制权后木马挂钩BILoadImageEx函数,调用原始15号中断并将控制权交回给系统继续引导。当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时,木马便第三次获得控制权,获得控制权后木马再一次执行挂钩操作,此次挂钩的位置是ntoskrnl.exe的入口点,随后将控制权交给系统继续引导。当引导完毕进入windows内核时,挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权,此时木马已真正进入windows内核中,获得控制权后,分配一块内存空间,将木马内核的主功能代码拷贝到分配的空间中,并通过创建PsSetCreateThreadNotifyRoutine回调的方式使主功能代码得以执行。至此完成木马由MBRwindows内核的加载过程。

 

解决方案

根据“暗云Ⅲ”木马程序的传播特性,建议用户近期采取积极的安全防范措施:

1.       不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。

2.       定期在不同的存储介质上备份信息系统业务和个人数据。  

3.       安装安天智甲防勒索免费专版,http://www.antiy.com/tools.html或通过本文附件1直接下载。

安天RainbowDay(暗云Ⅲ)专杀工具,http://www.antiy.com/tools.html 或通过本文附件2直接下载。

(1) 针对未感染的用户,推荐安装安天智甲防勒索免费专版。安天智甲通过采用上层监控、备份MBR、底层防御、多维度MBR改写监控等多种技术手段,有效防御恶意代码的绕过检测,阻止非法修改MBR行为,进而防御此类Bootkit恶意代码。在终端网络侧,安天智甲针对网络下载行为的Payload Block 检测机制,可以拦截恶意代码下载的可疑文件,阻断其进行网络行为,防止恶意代码下载更新恶意模块。

http://www.antiy.com/response/rainbowday/images/image036.png

(2) 针对已感染“暗云Ⅲ”的主机,建议采用安天RainbowDay(暗云Ⅲ)专杀工具进行查杀,具体使用方法如下:

a)       用户使用PE镜像方式启动操作系统;

b)       WinPE启动环境下,运行安天RainbowDay(暗云Ⅲ)专杀工具,并点击“开始排查”按钮;

http://www.antiy.com/response/rainbowday/images/image033.png

c)       当显示发现MBR被“暗云Ⅲ”修改后,提示是否修复,点击“确定”按钮开始修复;

http://www.antiy.com/response/rainbowday/images/image034.png

d)       扫描完毕后点击“威胁清除”按钮,清除检测到的“暗云Ⅲ”恶意代码;

http://www.antiy.com/response/rainbowday/images/image035.png

e)       重新启动操作系统,结束修复。

   

 

 

 

附件【setup.zip已下载
附件【rainbowday.zip已下载
关闭窗口
版权所有 2013上海体育学院 信息技术中心

地址:上海市杨浦区长海路399号图文信息楼4楼 | 邮编:200438 | 电话:(86-21)51253048 | Email:itc#sus.edu.cn(发信时请将#替换为@) | 远程协助QQ:2547906429