警告！格式化硬盤都?xì)⒉坏舻陌翟颇抉R大爆發(fā)

金山毒霸昨天(6月10日)發(fā)出警告，肆虐多年的暗云木馬近日出現(xiàn)多個(gè)變種，會(huì)感染硬盤主引導(dǎo)記錄(MBR)，開機(jī)啟動(dòng)時(shí)間比殺毒軟件還要早，因此不但無法查殺，即使格式化硬盤也不能根治。

沒想到，這個(gè)木馬很快就爆發(fā)了。

哈爾濱工業(yè)大學(xué)今天發(fā)布通知稱，CERNET黑龍江用戶網(wǎng)絡(luò)空間安全工作組根據(jù)安全機(jī)構(gòu)Panabit提供的威脅情報(bào)，監(jiān)測(cè)到目前互聯(lián)網(wǎng)有大量的機(jī)器感染暗云木馬。

分析發(fā)現(xiàn)，該僵尸網(wǎng)絡(luò)的部分變種利用Bootkit技術(shù)，將惡意代碼駐留在MBR，并采用Rootkit技術(shù)，躲避安全防護(hù)軟件的檢測(cè)。

目前，360等軟件無法查殺此木馬，不過金山毒霸表示已經(jīng)可以免疫，而哈工大也推薦了騰訊電腦管家的專殺工具(點(diǎn)此下載)。

“暗云”木馬沒有文件形態(tài)，長(zhǎng)期潛伏在磁盤引導(dǎo)區(qū)，主要攻擊代碼放在云端，曾有超百萬臺(tái)電腦受感染，2015年初被騰訊反病毒實(shí)驗(yàn)室首次捕獲。2017年4月開始，該木馬卷土重來，感染了數(shù)十萬臺(tái)機(jī)器。

新發(fā)現(xiàn)的暗云木馬在模塊分工、技術(shù)對(duì)抗等方面與老暗云相比有著明顯的晉級(jí)特征，更加隱蔽，可感染絕大多數(shù)系統(tǒng)和硬盤，還會(huì)更頑固地對(duì)抗專殺工具，切不可輕視。

參考資料：

“暗黑流量”超大規(guī)模DDoS溯源分析

“暗云”BootKit木馬詳細(xì)技術(shù)分析

暗云ⅡBootKit木馬分析

暗云Ⅲ BootKit木馬分析