雷火电竞官网-中国知名电竞赛事平台

　　金山MBR主引導暗云木馬專殺工具是一款非常實用的病毒查殺防御軟件，該款軟件專為近日盛行的暗云木馬量身定制，據悉該木馬會感染硬盤主引導記錄，即使格式化硬盤也不能完全清除病毒，而這款殺毒工具就能夠完美解決此類問題的發生！

 

暗云木馬介紹：

　　暗云木馬是迄今為止最復雜的木馬之一，曾經感染過數百萬電腦，它用了很多復雜的新技術來長期潛伏在系統中，尤其是借助BootKit直接感染硬盤引導分區。

　　攻擊者精心制作的這個惡意程序功能復雜，開發技巧很高，采用多種技術方案對抗安全軟件，并且更新頻繁。

　　據悉，最新的木安云馬變種會將攻擊母體捆綁在游戲外掛或私服工具中，或者干脆假冒游戲外掛和私服工具，欺騙游戲玩家下載安裝，并通過聯網獲得攻擊指令。病毒作者可以非常靈活地控制中毒電腦，執行任意操作。

　　暗云病毒感染后，會立刻感染硬盤MBR（主引導記錄）——這是電腦開機時最早加載的程序位置，此時Windows尚未被加載，更不用說依賴Windows的殺毒軟件了，所以當電腦完成正常開機過程后，病毒已在內存運行多時了，一般方法極難清除。

　　就算用戶將電腦硬盤格式化重裝，因為暗云病毒存在于硬盤MBR，僅僅格式化硬盤不會對病毒造成任何影響。

　　安全專家解釋說：“暗云病毒通過聯網下載攻擊指令，再將攻擊代碼在內存中運行，并不在本地硬盤上生成文件完成破壞或攻擊目的。這是一種高超的攻擊技巧，本地找不到完成攻擊的文件，指令只在內存中，隨時可以通過網絡更換攻擊方式。目前，我們監測到的攻擊代碼是刷流量牟利，以及發起DDoS攻擊。”
 

 

暗云木馬技術特點：

　　第一、隱蔽性非常高，通過Hook磁盤驅動實現對已感染的MBR進行保護，防止被安全軟件檢測和清除，并且使用對象劫持技術躲避安全人員的手工檢測。隱蔽性極高，截至目前為止，幾乎所有的安全軟件都無法檢測和查殺該木馬。

　　第二、云思想在暗云木馬中的使用：木馬以輕量級的身軀隱藏于磁盤最前端的30個扇區中，這些常駐與系統中代碼并沒有傳統木馬的功能，這些代碼的功能僅僅是到執行的服務器（云端）下載其他功能代碼到內存中直接執行，這些功能模塊每次開機都由隱藏的模塊從云端下載。因此木馬體積小巧，且云端控制性強。

　　第三，Ring 3與Ring 0的通信方式：微軟正統的通信方式是Ring 0代碼創建驅動設備，Ring 3代碼通過打開Ring 0創建的設備開實現相互之間的通信。常見的木馬使用的通信方式則是在Ring0對指定的API函數進行Hook，而暗云木馬是通過注冊回調的方式來實現。

　　第四，操作系統全量兼容：一份BootKit同時兼容x86、x64兩種版本的操作系統，且能夠兼容xp、win7等當前主流的操作系統版本，因此影響范圍十分廣泛。在推廣獲利方面，該木馬也是涵蓋當前主流的推廣獲利渠道——推廣小網站、推廣手機應用、推廣游戲、大網站加推廣ID。

　　第五，有效對抗殺軟：有于木馬的主體在內核中運行，且啟動時間比所有的安全軟件都早，因此大部分的安全軟件無法攔截和檢測該木馬的惡意行為。木馬能夠在內核中直接結束部分安全軟件進程，同時可以向任意安全軟件進程插入APC執行。插入的APC代碼會關閉安全軟件的文件監控設備句柄，會導致安全軟件文件監控失效，大大減少了被檢測的機率。

標簽： 金山毒霸 病毒查殺 病毒防御