暗云木马变种来袭:格式化硬盘都杀不掉

局长
 局长
发布于 2017年06月10日
收藏 23

肆虐多年的暗云木马近日出现多个变种,会感染硬盘主引导记录(MBR),开机启动时间比杀毒软件还要早,因此不但无法查杀,即使格式化硬盘也不能根治。

暗云木马是迄今为止最复杂的木马之一,曾经感染过数百万电脑,它用了很多复杂的新技术来长期潜伏在系统中,尤其是借助BootKit直接感染硬盘引导分区。

攻击者精心制作的这个恶意程序功能复杂,开发技巧很高,采用多种技术方案对抗安全软件,并且更新频繁。

三代暗云木马比较

暗云Ⅲ 木马启动流程

据悉,最新的木安云马变种会将攻击母体捆绑在游戏外挂或私服工具中,或者干脆假冒游戏外挂和私服工具,欺骗游戏玩家下载安装,并通过联网获得攻击指令。病毒作者可以非常灵活地控制中毒电脑,执行任意操作。

暗云病毒感染后,会立刻感染硬盘MBR(主引导记录)——这是电脑开机时最早加载的程序位置,此时Windows尚未被加载,更不用说依赖Windows的杀毒软件了,所以当电脑完成正常开机过程后,病毒已在内存运行多时了,一般方法极难清除。

就算用户将电脑硬盘格式化重装,因为暗云病毒存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。

安全专家解释说:“暗云病毒通过联网下载攻击指令,再将攻击代码在内存中运行,并不在本地硬盘上生成文件完成破坏或攻击目的。这是一种高超的攻击技巧,本地找不到完成攻击的文件,指令只在内存中,随时可以通过网络更换攻击方式。目前,我们监测到的攻击代码是刷流量牟利,以及发起DDoS攻击。”

来自:驱动之家

>>>【评论有礼】6月6日-30日评论每日更新的“新闻资讯和软件更新资讯”,评论点赞数超过 20 的可登上每周更新的“源资讯”和“软件周刊”两大栏目,点赞数超过 50 的还将获得 5 活跃积分奖励和开源中国定制好礼。详情

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:暗云木马变种来袭:格式化硬盘都杀不掉
加载中

精彩评论

无聊的人啊
无聊的人啊
446个字节,我真怀疑你能写个啥。硬盘全部格式化了。就剩这么点。
蓝水晶飞机
蓝水晶飞机
这个肯定是用汇编(或更低级)才能写得出来,体积那么小。
ejzhang
ejzhang
fdisk /mbr
以前用这个命令能够重写MBR,不知道现在还支不支持。
Tensor丨思悟
Tensor丨思悟
BOOTICE

最新评论(29

车篷草
车篷草
代码多了什么奇葩码没有?记得CIH吗?编写者的文凭并不高哦。
yinhuan99
yinhuan99

引用来自“吴卓燚”的评论

mbr的话格式化是没用,但是重新分区就可以了了
重建mbr就可以,数据都不丢。
yinhuan99
yinhuan99
只要能查出来,重建mbr就行了,但是现在的gpt 也有这个问题吗?
小杨阿哥哥
小杨阿哥哥
这就复杂了
探险九头蛇
那uefi启动的win10会不会感染啊
句龙胤
句龙胤
搞病毒、木马的杂种就应该全家螺旋暴毙,生生世世不得好死。搞你麻痹的病毒,弄你麻痹的木马,全都不得好死。
格力高
格力高
512个字节的mbr除了硬盘寻址加载,还能做这么复杂的病毒?
我跳起来就给你两键盘
我跳起来就给你两键盘
低格啊。我就不信还会写到bios芯片里面去。能做到这个步骤我特么就换电脑。
移动设备JAVA代码搬砖侠
移动设备JAVA代码搬砖侠
渣渣病毒,用PE引导,重置MBR就解决了,作者就会吓唬人
移动设备JAVA代码搬砖侠
移动设备JAVA代码搬砖侠
重置引导分区,也不行?
返回顶部
顶部