金山MBR主引導(dǎo)暗云木馬專殺工具是一款非常實(shí)用的病毒查殺防御軟件，該款軟件專為近日盛行的暗云木馬量身定制，據(jù)悉該木馬會(huì)感染硬盤(pán)主引導(dǎo)記錄，即使格式化硬盤(pán)也不能完全清除病毒，而這款殺毒工具就能夠完美解決此類問(wèn)題的發(fā)生！

 

暗云木馬介紹：

　　暗云木馬是迄今為止最復(fù)雜的木馬之一，曾經(jīng)感染過(guò)數(shù)百萬(wàn)電腦，它用了很多復(fù)雜的新技術(shù)來(lái)長(zhǎng)期潛伏在系統(tǒng)中，尤其是借助BootKit直接感染硬盤(pán)引導(dǎo)分區(qū)。

　　攻擊者精心制作的這個(gè)惡意程序功能復(fù)雜，開(kāi)發(fā)技巧很高，采用多種技術(shù)方案對(duì)抗安全軟件，并且更新頻繁。

　　據(jù)悉，最新的木安云馬變種會(huì)將攻擊母體捆綁在游戲外掛或私服工具中，或者干脆假冒游戲外掛和私服工具，欺騙游戲玩家下載安裝，并通過(guò)聯(lián)網(wǎng)獲得攻擊指令。病毒作者可以非常靈活地控制中毒電腦，執(zhí)行任意操作。

　　暗云病毒感染后，會(huì)立刻感染硬盤(pán)MBR（主引導(dǎo)記錄）——這是電腦開(kāi)機(jī)時(shí)最早加載的程序位置，此時(shí)Windows尚未被加載，更不用說(shuō)依賴Windows的殺毒軟件了，所以當(dāng)電腦完成正常開(kāi)機(jī)過(guò)程后，病毒已在內(nèi)存運(yùn)行多時(shí)了，一般方法極難清除。

　　就算用戶將電腦硬盤(pán)格式化重裝，因?yàn)榘翟撇《敬嬖谟谟脖P(pán)MBR，僅僅格式化硬盤(pán)不會(huì)對(duì)病毒造成任何影響。

　　安全專家解釋說(shuō)：“暗云病毒通過(guò)聯(lián)網(wǎng)下載攻擊指令，再將攻擊代碼在內(nèi)存中運(yùn)行，并不在本地硬盤(pán)上生成文件完成破壞或攻擊目的。這是一種高超的攻擊技巧，本地找不到完成攻擊的文件，指令只在內(nèi)存中，隨時(shí)可以通過(guò)網(wǎng)絡(luò)更換攻擊方式。目前，我們監(jiān)測(cè)到的攻擊代碼是刷流量牟利，以及發(fā)起DDoS攻擊。”
 

 

暗云木馬技術(shù)特點(diǎn)：

　　第一、隱蔽性非常高，通過(guò)Hook磁盤(pán)驅(qū)動(dòng)實(shí)現(xiàn)對(duì)已感染的MBR進(jìn)行保護(hù)，防止被安全軟件檢測(cè)和清除，并且使用對(duì)象劫持技術(shù)躲避安全人員的手工檢測(cè)。隱蔽性極高，截至目前為止，幾乎所有的安全軟件都無(wú)法檢測(cè)和查殺該木馬。

　　第二、云思想在暗云木馬中的使用：木馬以輕量級(jí)的身軀隱藏于磁盤(pán)最前端的30個(gè)扇區(qū)中，這些常駐與系統(tǒng)中代碼并沒(méi)有傳統(tǒng)木馬的功能，這些代碼的功能僅僅是到執(zhí)行的服務(wù)器（云端）下載其他功能代碼到內(nèi)存中直接執(zhí)行，這些功能模塊每次開(kāi)機(jī)都由隱藏的模塊從云端下載。因此木馬體積小巧，且云端控制性強(qiáng)。

　　第三，Ring 3與Ring 0的通信方式：微軟正統(tǒng)的通信方式是Ring 0代碼創(chuàng)建驅(qū)動(dòng)設(shè)備，Ring 3代碼通過(guò)打開(kāi)Ring 0創(chuàng)建的設(shè)備開(kāi)實(shí)現(xiàn)相互之間的通信。常見(jiàn)的木馬使用的通信方式則是在Ring0對(duì)指定的API函數(shù)進(jìn)行Hook，而暗云木馬是通過(guò)注冊(cè)回調(diào)的方式來(lái)實(shí)現(xiàn)。

　　第四，操作系統(tǒng)全量兼容：一份BootKit同時(shí)兼容x86、x64兩種版本的操作系統(tǒng)，且能夠兼容xp、win7等當(dāng)前主流的操作系統(tǒng)版本，因此影響范圍十分廣泛。在推廣獲利方面，該木馬也是涵蓋當(dāng)前主流的推廣獲利渠道——推廣小網(wǎng)站、推廣手機(jī)應(yīng)用、推廣游戲、大網(wǎng)站加推廣ID。

　　第五，有效對(duì)抗殺軟：有于木馬的主體在內(nèi)核中運(yùn)行，且啟動(dòng)時(shí)間比所有的安全軟件都早，因此大部分的安全軟件無(wú)法攔截和檢測(cè)該木馬的惡意行為。木馬能夠在內(nèi)核中直接結(jié)束部分安全軟件進(jìn)程，同時(shí)可以向任意安全軟件進(jìn)程插入APC執(zhí)行。插入的APC代碼會(huì)關(guān)閉安全軟件的文件監(jiān)控設(shè)備句柄，會(huì)導(dǎo)致安全軟件文件監(jiān)控失效，大大減少了被檢測(cè)的機(jī)率。

標(biāo)簽： 金山毒霸 病毒查殺 病毒防御