暗云（计算机木马）

“暗云”（“暗云III”是“暗云”进化出的第三个版本）是一个迄今为止最复杂的木马之一，感染了数以百万的计算机，暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术，直接感染磁盘的引导区，感染后即使重装格式化硬盘也无法清除。国内权威安全评测机构PCSL，针对“暗云”对各大安全厂商做了一次详尽评估，其中腾讯电脑管家和金山毒霸等已可防御。

出现方式

如果发现电脑存在下列症状，最好使用杀毒软件查杀暗云木马：

1.       桌面出现“美女视频直播”快捷方式；

2.       访问baidu.com时网址后面自动加上了一个奇怪的字符串；

3.       电脑出现过RUNDLL错误提示框；

4.       安卓手机连接电脑后莫名其妙装上haomm等应用，电脑里查出xnfbase.dll、thpro32.dll等文件，或者你所在qq群出现由你分享的私服游戏（实际上是木马利用qq漏洞上传的）；

5.       由于暗云木马感染了MBR（磁盘主引导区），即使重装系统，MBR里的恶意代码还会联网下载木马病毒进来，电脑中毒症状会再次出现。

警惕！常驻计算机模块（MBR）行为

感染“暗云”木马的计算机开机后，受感染的磁盘MBR第一时间获得CPU的控制权，其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行，木马主体获得执行后通过挂钩int 15中断来获取第二次执行的机会，随后读取第二扇区中的备份MBR正常地引导系统启动。系统引导启动时会通过int 15中断查询内存信息，此时挂钩15号中断的木马便得以第二次获得CPU控制权，获得控制权后木马挂钩BILoadImageEx函数，调用原始15号中断并将控制权交回给系统继续引导。当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时，木马便第三次获得控制权，获得控制权后木马再一次执行挂钩操作，此次挂钩的位置是ntoskrnl.exe的入口点，随后将控制权交给系统继续引导。当引导完毕进入windows内核时，挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权，此时木马已真正进入windows内核中，获得控制权后，分配一块内存空间，将木马内核的主功能代码拷贝到分配的空间中，并通过创建PsSetCreateThreadNotifyRoutine回调的方式使主功能代码得以执行。至此完成木马由MBR到windows内核的加载过程。

解决方案

根据“暗云Ⅲ”木马程序的传播特性，建议用户近期采取积极的安全防范措施：

1.       不要选择安装捆绑在下载器中的软件，不要运行来源不明或被安全软件报警的程序，不要下载运行游戏外挂、私服登录器等软件。

2.       定期在不同的存储介质上备份信息系统业务和个人数据。  

3.       安装安天智甲防勒索免费专版，http://www.antiy.com/tools.html， 或通过本文附件1直接下载。

安天RainbowDay（暗云Ⅲ）专杀工具，http://www.antiy.com/tools.html 或通过本文附件2直接下载。

(1) 针对未感染的用户，推荐安装安天智甲防勒索免费专版。安天智甲通过采用上层监控、备份MBR、底层防御、多维度MBR改写监控等多种技术手段，有效防御恶意代码的绕过检测，阻止非法修改MBR行为，进而防御此类Bootkit恶意代码。在终端网络侧，安天智甲针对网络下载行为的Payload Block 检测机制，可以拦截恶意代码下载的可疑文件，阻断其进行网络行为，防止恶意代码下载更新恶意模块。

(2) 针对已感染“暗云Ⅲ”的主机，建议采用安天RainbowDay（暗云Ⅲ）专杀工具进行查杀，具体使用方法如下：

a)       用户使用PE镜像方式启动操作系统；

b)       在WinPE启动环境下，运行安天RainbowDay（暗云Ⅲ）专杀工具，并点击“开始排查”按钮；

c)       当显示发现MBR被“暗云Ⅲ”修改后，提示是否修复，点击“确定”按钮开始修复；

d)       扫描完毕后点击“威胁清除”按钮，清除检测到的“暗云Ⅲ”恶意代码；

e)       重新启动操作系统，结束修复。