暗云三

 
5383 5
20098 2022-5-22 17:56:57 来自手机 | 显示全部楼层 |阅读模式
暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装格式化硬盘也无法清除。国内权威安全评测机构PCSL
一个影响百万计算机的危险木马被第一时间拦截查杀。据悉,该木马能够使用多种复杂技术潜伏于电脑磁盘引导区中,并通过云端攻击危害用户,是迄今为止最复杂的木马之一,被腾讯电脑管家安全专家命名为“暗云”。“暗云”木马并没有具体的文件形态,它潜伏于用户电脑的磁盘引导区内,通过云端数据下载病毒代码向电脑发起攻击,并可破坏杀毒软件功能,即便用户格式化硬盘也难以清除,查杀该木马的技术难度超越之前的“鬼影”病毒
电脑开机后,受感染的磁盘MBR第一时间获得CPU的控制权,其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行,木马主体获得执行后通过挂钩int 15中断来获取第二次执行的机会,随后读取第二扇区中的备份MBR正常地引导系统启动。系统引导启动时会通过int 15中断查询内存信息,此时挂钩15号中断的木马便得以第二次获得CPU控制权,获得控制权后木马挂钩BILoadImageEx函数,调用原始15号中断并将控制权交回给系统继续引导。当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时,木马便第三次获得控制权,获得控制权后木马再一次执行挂钩操作,此次挂钩的位置是ntoskrnl.exe的入口点,随后将控制权交给系统继续引导。当引导完毕进入windows内核时,挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权,此时木马已真正进入windows内核中,获得控制权后,分配一块内存空间,将木马内核的主功能代码拷贝到分配的空间中,并通过创建PsSetCreateThreadNotifyRoutine回调的方式使主功能代码得以执行。至此完成木马由MBR到windows内核的加载过程。
由于暗云木马感染了MBR(磁盘主引导区),即使重装系统,MBR里的恶意代码还会联网下载木马病毒进来,电脑中毒症状会再次出现
一个普通人 2022-5-27 19:54:56 来自手机 | 显示全部楼层
我们已经有效的克制住了这要感谢腾讯的人他们和国家联手克制住的
shadow虚空幻影 2022-6-27 19:33:42 来自手机 | 显示全部楼层
这病毒。。。也太狠了吧
兵主 2022-9-22 08:59:51 来自手机 | 显示全部楼层
真想搞一份研究研究
M天之黑鼠 2022-11-12 18:49:32 来自手机 | 显示全部楼层
已了解,谢谢
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

中国红客联盟公众号

联系站长QQ:5520533

admin@chnhonker.com
Copyright © 2001-2026 Discuz Team. Powered by Discuz! X3.5 ( 粤ICP备13060014号 )|天天打卡 本站已运行