“暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装格式化硬盘也无法清除。
该木马使用了很多创新的技术,有以下特点:
第一、隐蔽性非常高,通过Hook磁盘驱动实现对已感染的MBR进行保护,防止被安全软件检测和清除,并且使用对象劫持技术躲避安全人员的手工检测。隐蔽性极高,截至目前为止,几乎所有的安全软件都无法检测和查杀该木马。
第二、云思想在暗云木马中的使用:木马以轻量级的身躯隐藏于磁盘最前端的30个扇区中,这些常驻与系统中代码并没有传统木马的功能,这些代码的功能仅仅是到执行的服务器(云端)下载其他功能代码到内存中直接执行,这些功能模块每次开机都由隐藏的模块从云端下载。因此木马体积小巧,且云端控制性强。
第三,Ring 3与Ring 0的通信方式:微软正统的通信方式是Ring 0代码创建驱动设备,Ring 3代码通过打开Ring 0创建的设备开实现相互之间的通信。常见的木马使用的通信方式则是在Ring0对指定的API函数进行Hook,而暗云木马是通过注册回调的方式来实现。
第四,操作系统全量兼容:一份BootKit同时兼容x86、x64两种版本的操作系统,且能够兼容xp、win7等当前主流的操作系统版本,因此影响范围十分广泛。在推广获利方面,该木马也是涵盖当前主流的推广获利渠道——推广小网站、推广手机应用、推广游戏、大网站加推广ID。
第五,有效对抗杀软:有于木马的主体在内核中运行,且启动时间比所有的安全软件都早,因此大部分的安全软件无法拦截和检测该木马的恶意行为。木马能够在内核中直接结束部分安全软件进程,同时可以向任意安全软件进程插入APC执行。插入的APC代码会关闭安全软件的文件监控设备句柄,会导致安全软件文件监控失效,大大减少了被检测的机率。
2017年6月9日开始,“暗云”木马在互联网大规模传播,“暗云”木马具有隐蔽性强、潜在危害大、传播范围广等特点。6月9日至今,国家互联网应急中心监测发现中国境内有160余万台电脑感染了此木马。为此,国家互联网应急中心首次开通了“暗云”木马感染数据免费查询服务,点击网址http://d.cert.org.cn即可查询使用的IP地址是否受到木马感染。
国家互联网应急中心指出,“暗云”木马暂只能感染Windows桌面系统,在Windows电脑浏览器中打开查询页面进行查询,地址:http://d.cert.org.cn。如果用户使用宽带拨号上网或手机上网,由于IP地址经常变化,会导致查询结果不准确。
回答评级:★★★☆☆☆☆☆☆ 回答者:{tiantiankx}tiantiankx 6-29
回答