暗云木马变种来袭:格式化硬盘都杀不掉

来源: OSCHINA
编辑: 局长
2017-06-10

肆虐多年的暗云木马近日出现多个变种,会感染硬盘主引导记录(MBR),开机启动时间比杀毒软件还要早,因此不但无法查杀,即使格式化硬盘也不能根治。

暗云木马是迄今为止最复杂的木马之一,曾经感染过数百万电脑,它用了很多复杂的新技术来长期潜伏在系统中,尤其是借助BootKit直接感染硬盘引导分区。

攻击者精心制作的这个恶意程序功能复杂,开发技巧很高,采用多种技术方案对抗安全软件,并且更新频繁。

三代暗云木马比较

暗云Ⅲ 木马启动流程

据悉,最新的木安云马变种会将攻击母体捆绑在游戏外挂或私服工具中,或者干脆假冒游戏外挂和私服工具,欺骗游戏玩家下载安装,并通过联网获得攻击指令。病毒作者可以非常灵活地控制中毒电脑,执行任意操作。

暗云病毒感染后,会立刻感染硬盘MBR(主引导记录)——这是电脑开机时最早加载的程序位置,此时Windows尚未被加载,更不用说依赖Windows的杀毒软件了,所以当电脑完成正常开机过程后,病毒已在内存运行多时了,一般方法极难清除。

就算用户将电脑硬盘格式化重装,因为暗云病毒存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。

安全专家解释说:“暗云病毒通过联网下载攻击指令,再将攻击代码在内存中运行,并不在本地硬盘上生成文件完成破坏或攻击目的。这是一种高超的攻击技巧,本地找不到完成攻击的文件,指令只在内存中,随时可以通过网络更换攻击方式。目前,我们监测到的攻击代码是刷流量牟利,以及发起DDoS攻击。”

来自:驱动之家

>>>【评论有礼】6月6日-30日评论每日更新的“新闻资讯和软件更新资讯”,评论点赞数超过 20 的可登上每周更新的“源资讯”和“软件周刊”两大栏目,点赞数超过 50 的还将获得 5 活跃积分奖励和开源中国定制好礼。详情

展开阅读全文
23 收藏
分享
加载中
精彩评论
446个字节,我真怀疑你能写个啥。硬盘全部格式化了。就剩这么点。
2017-06-10 09:03
3
举报
这个肯定是用汇编(或更低级)才能写得出来,体积那么小。
2017-06-10 10:58
2
举报
fdisk /mbr
以前用这个命令能够重写MBR,不知道现在还支不支持。
2017-06-10 10:04
2
举报
BOOTICE
2017-06-10 14:37
1
举报
最新评论 (26)
代码多了什么奇葩码没有?记得CIH吗?编写者的文凭并不高哦。
2017-06-14 09:57
0
回复
举报

引用来自“吴卓燚”的评论

mbr的话格式化是没用,但是重新分区就可以了了
重建mbr就可以,数据都不丢。
2017-06-12 02:52
0
回复
举报
只要能查出来,重建mbr就行了,但是现在的gpt 也有这个问题吗?
2017-06-12 02:51
0
回复
举报
这就复杂了
2017-06-11 07:02
0
回复
举报
那uefi启动的win10会不会感染啊
2017-06-10 21:46
0
回复
举报
512个字节的mbr除了硬盘寻址加载,还能做这么复杂的病毒?
2017-06-10 17:34
0
回复
举报
低格啊。我就不信还会写到bios芯片里面去。能做到这个步骤我特么就换电脑。
2017-06-10 17:13
0
回复
举报
渣渣病毒,用PE引导,重置MBR就解决了,作者就会吓唬人
2017-06-10 15:57
0
回复
举报
重置引导分区,也不行?
2017-06-10 15:54
0
回复
举报
MBR开始淘汰,不知道有没有GPT版本
2017-06-10 14:48
0
回复
举报
更多评论
29 评论
23 收藏
分享
返回顶部
顶部