• :
  • 【小心:暗云病毒可能引发较大规模网络攻击】-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [论坛公告] 【小心:暗云病毒可能引发较大规模网络攻击】

    [复制链接]
  • TA的每日心情
    开心
    2016-1-12 11:54
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2017-6-9 21:14:10 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 dblyf 于 2017-6-10 11:35 编辑

          金山毒霸安全实验室监测发现,肆虐多年的暗云木马近日出现多个变种,该变种假冒一些流行游戏的外挂、**工具传播。通过联网获得指令,病毒作者可以非常灵活的控制中毒电脑完成任意任务。暗云系列病毒会感染硬盘主引导记录(MBR),开机启动比杀毒软件更早,如果不借助杀毒软件,用户即使格式化硬盘,病毒仍然存活。目前,金山毒霸已全面查杀暗云系列木马。

    duba1.png




          暗云木马是攻击者精心制作的恶意程序,功能复杂,开发技巧很高,采用多种技术方案对抗安全软件,并且更新频繁。病毒传播者将攻击母体捆绑在游戏外挂或**工具中,或者干脆假冒游戏外挂和**工具,欺骗游戏玩家下载安装。

    f4zf-fyfzhap4755492.jpg

       暗云病毒感染后,会立刻感染硬盘MBR(主引导记录),MBR是电脑开机时最早加载的程序位置,此时Windows尚未被加载,更不用说依赖Windows的杀毒软件了。当电脑完成正常开机过程,病毒已在内存运行多时了。


      为对付暗云这样的技术型病毒,杀毒厂商们开发了各种各样的急救箱工具或专杀工具。暗云病毒感染后,依靠硬盘MBR抢先加载,并立刻针对安全软件采取对抗行动,使得一般方法极难清除。就算用户将电脑硬盘格式化重装,暗云病毒因为存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。



      “暗云病毒通过联网下载攻击指令,再将攻击代码在内存中运行。并不在本地硬盘上生成文件完成破坏或攻击目的。”金山毒霸安全专家解释说,“这是一种高超的攻击技巧,本地找不到完成攻击的文件,指令只在内存中,随时可以通过网络更换攻击方式。目前,我们监测到的攻击代码是刷流量牟利,以及发起DDoS攻击。”


      好消息是,这个技术型病毒,并不能逃避金山毒霸的查杀防御体系——内置的MBR保护功能可以在病毒运行时,阻止病毒感染硬盘。金山毒霸安全专家建议游戏玩家勿轻易相信游戏外挂或其他辅助工具,当杀毒软件拦截外挂运行时,应相信这并非杀毒软件误报,而是危险就在眼前。

    duba2.jpg



    使用道具 举报 回复
    用最新的GPT,Windows的 Secure boot就可以起作用了,只加载经过签名的引导代码
    使用道具 举报 回复 支持 反对
    很多电脑没法用uefi和ahci所以这个病毒避免不了

    点评

    ahci比uefi普及的早的多 07年后的电脑主板都支持ahci ahci是vista时期开始的 uefi是w8后才开始的  详情 回复 发表于 2017-6-16 17:33
    使用道具 举报 回复 支持 反对
       金山毒霸安全实验室监测发现,肆虐多年的暗云木马近日出现多个变种,该变种假冒一些流行游戏的外挂、**工具传播。通过联网获得指令,病毒作者可以非常灵活的控制中毒电脑完成任意任务。
    使用道具 举报 回复 支持 反对
    暗云木马是攻击者精心制作的恶意程序,功能复杂,开发技巧很高,采用多种技术方案对抗安全软件,并且更新频繁。病毒传播者将攻击母体捆绑在游戏外挂或**工具中,或者干脆假冒游戏外挂和**工具,欺骗游戏玩家下载安装。
    使用道具 举报 回复 支持 反对
    暗云病毒感染后,依靠硬盘MBR抢先加载,并立刻针对安全软件采取对抗行动,使得一般方法极难清除。就算用户将电脑硬盘格式化重装,暗云病毒因为存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。
    使用道具 举报 回复 支持 反对
    aokkede 发表于 2017-6-10 05:17
    很多电脑没法用uefi和ahci所以这个病毒避免不了

    ahci比uefi普及的早的多
    07年后的电脑主板都支持ahci
    ahci是vista时期开始的
    uefi是w8后才开始的


    点评

    我家的电脑就不能用ahci和uefi bios不敢刷因为是品牌机怕刷废了  详情 回复 发表于 2017-6-16 20:10
    使用道具 举报 回复 支持 反对
    353224107 发表于 2017-6-16 17:33
    ahci比uefi普及的早的多
    07年后的电脑主板都支持ahci
    ahci是vista时期开始的

    我家的电脑就不能用ahci和uefi bios不敢刷因为是品牌机怕刷废了

    点评

    这个是需要主板硬件支持的 不是简单的刷bios就能实现的 品牌机 凡是预装w8以后的系统的 主板都是支持uefi和ahci的(有前者必有后者) 凡是开始预装vista的 主板也都是支持ahci的 你的电脑预装的是什么了 X  详情 回复 发表于 2017-6-16 21:01
    使用道具 举报 回复 支持 反对
    aokkede 发表于 2017-6-16 20:10
    我家的电脑就不能用ahci和uefi bios不敢刷因为是品牌机怕刷废了

    这个是需要主板硬件支持的
    不是简单的刷bios就能实现的

    品牌机
    凡是预装w8以后的系统的
    主板都是支持uefi和ahci的(有前者必有后者)
    凡是开始预装vista的
    主板也都是支持ahci的
    你的电脑预装的是什么了
    XP?那肯定是不行的
    自07年后产的品牌机就已经支持ahci了
    你的是几几年的了







    点评

    11年买的 amd双核 预装xp 估计是不是硬件阉割ahci了  发表于 2017-6-17 07:18
    使用道具 举报 回复 支持 反对
    特来看看,知道了。
    使用道具 举报 回复 支持 反对
    小心谨慎为好
    使用道具 举报 回复 支持 反对
    学习学习一下!
    使用道具 举报 回复 支持 反对
    暗云病毒可能引发较大规模网络攻击
    使用道具 举报 回复 支持 反对
    暗云病毒这个技术型病毒,并不能逃避金山毒霸的查杀防御体系——内置的MBR保护功能可以在病毒运行时,阻止病毒感染硬盘。金山毒霸安全专家建议游戏玩家勿轻易相信游戏外挂或其他辅助工具,当杀毒软件拦截外挂运行时,应相信这并非杀毒软件误报,而是危险就在眼前。
    使用道具 举报 回复 支持 反对
    “暗云病毒通过联网下载攻击指令,再将攻击代码在内存中运行。并不在本地硬盘上生成文件完成破坏或攻击目的。”金山毒霸安全专家解释说,“这是一种高超的攻击技巧,本地找不到完成攻击的文件,指令只在内存中,随时可以通过网络更换攻击方式。目前,我们监测到的攻击代码是刷流量牟利,以及发起DDoS攻击。”
    使用道具 举报 回复 支持 反对
    有金山,咱不怕。
    使用道具 举报 回复 支持 反对
    现在的病毒太多
    使用道具 举报 回复 支持 反对
    这个现在已经防护了
    使用道具 举报 回复 支持 反对
    一般都是工具传播。。。
    使用道具 举报 回复 支持 反对
    好像   很厉害            
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则