暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装格式化硬盘也无法清除。国内权威安全评测机构PCSL
一个影响百万计算机的危险木马被第一时间拦截查杀。据悉,该木马能够使用多种复杂技术潜伏于电脑磁盘引导区中,并通过云端攻击危害用户,是迄今为止最复杂的木马之一,被腾讯电脑管家安全专家命名为“暗云”。“暗云”木马并没有具体的文件形态,它潜伏于用户电脑的磁盘引导区内,通过云端数据下载病毒代码向电脑发起攻击,并可破坏杀毒软件功能,即便用户格式化硬盘也难以清除,查杀该木马的技术难度超越之前的“鬼影”病毒
电脑开机后,受感染的磁盘MBR第一时间获得CPU的控制权,其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行,木马主体获得执行后通过挂钩int 15中断来获取第二次执行的机会,随后读取第二扇区中的备份MBR正常地引导系统启动。系统引导启动时会通过int 15中断查询内存信息,此时挂钩15号中断的木马便得以第二次获得CPU控制权,获得控制权后木马挂钩BILoadImageEx函数,调用原始15号中断并将控制权交回给系统继续引导。当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时,木马便第三次获得控制权,获得控制权后木马再一次执行挂钩操作,此次挂钩的位置是ntoskrnl.exe的入口点,随后将控制权交给系统继续引导。当引导完毕进入windows内核时,挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权,此时木马已真正进入windows内核中,获得控制权后,分配一块内存空间,将木马内核的主功能代码拷贝到分配的空间中,并通过创建PsSetCreateThreadNotifyRoutine回调的方式使主功能代码得以执行。至此完成木马由MBR到windows内核的加载过程。
由于暗云木马感染了MBR(磁盘主引导区),即使重装系统,MBR里的恶意代码还会联网下载木马病毒进来,电脑中毒症状会再次出现 |
使用道具 举报
使用道具 举报
使用道具 举报
使用道具 举报