今年4月,国内网友在玩某射击游戏时陆续出现电脑卡顿的现象,而随着时间的推移,类似的情况不断发生。腾讯电脑管家在接到网友求助后,第一时间监测并跟进调查,发现造成电脑卡顿的元凶系通过感染磁盘MBR来实现开机启动的暗云木马最新变种——“暗云Ⅲ”BootKit木马。目前,腾讯电脑管家已经能够准确检测和查杀暗云系列木马,网友可在腾讯电脑管家官网下载“暗云”专杀版处理该木马。
(腾讯电脑管家查杀“暗云Ⅲ”)
作为一个特殊空间,MBR是磁盘主引导记录,它不属于磁盘上的任何分区,而一旦MBR出现恶意代码,即使重装系统也无法清除,一般情况下需要使用安全软件对MBR进行清理修复。目前暗云系列木马均通过感染磁盘MBR来实现开机启动,由MBR开始通过int 15中断一步步的hook来跟随系统的引导流程进入系统内核执行,该套代码可兼容XP、Vista、Win7、Win8等主流操作系统,包括64位和32位。
(暗云系列 BootKit 启动过程示意图)
暗云系列木马通常借助外挂、游戏辅助、私服登录器等传播,此类软件会诱导用户关闭安全软件后使用,这样木马就可乘机植入。一旦用户中招,将遭遇系统运行变慢、账号被盗、主页被锁、恶意推广等问题,严重者可能会受到网络攻击。目前,“暗云Ⅲ”的主要影响是刷流量和攻击网站,不法分子也可随时进行更新,从而做各种恶意行为,对用户电脑造成严重的安全隐患。
“暗云Ⅲ”爆发后,腾讯电脑管家安全研究人员在第一时间进行监测并分析。首先,在“暗云Ⅲ”进入Windows内核后,会立即执行一段代码,通过磁盘钩子、定时器守护等一系列操作保护恶意的磁盘MBR不被检测和修改。同时,该木马还会在内核中直接联网下载代码,解压尾部数据来得到一个“playload.dll”,并尝试以APC的方式向应用层指定进程插入该dll文件。成功插入后,该dll就可以从云端下载配置文件,实现包括删除指定服务,指定注册表,下载指定文件加载、运行、注入等功能。研究人员还对比“暗云Ⅱ”和“暗云Ⅲ”配置文件中的Version字段,发现当前版本已经达到624,证明“暗云Ⅲ”不仅持续活跃,而且更新频繁。
(三代暗云木马比较)
事实上,“暗云”系列木马自2015年初被腾讯电脑管家首次捕获并查杀,至今已有2年多。随着技术的升级,该木马不断更新迭代,在隐蔽性、兼容性以及对抗安全软件的能力上均与之前版本有了比较明显的晋级特征。“暗云Ⅲ”无文件无注册表,取消了多个内核钩子、对象劫持,隐蔽性更强;由于“暗云Ⅲ”主要通过挂钩磁盘驱动器的StartIO来实现隐藏和保护病毒MBR,而此类钩子位于内核很底层,不同类型、品牌的硬盘所需要的hook点不一样,同时木马增加了更多判断代码,能够感染市面上的绝大多数系统和硬盘;为了对抗安全厂商的“急救箱”类工具,“暗云Ⅲ”还能通过抢先注册名称的方式阻止急救箱正常功能开启,而其设备名称就是急救箱里面会用到的底层设备名称。
腾讯安全反病毒实验室专家马劲松表示,广大用户不必对“暗云”系列木马感到恐慌,目前腾讯电脑管家已经能够准确检测和查杀这类木马。同时,建议网友在上网时应保持腾讯电脑管家等安全软件开启状态,不要运行来源不明和被安全软件报毒的程序。