暗云木马Ⅲ病毒

最新推荐文章于 2023-05-02 21:08:50 发布
最新推荐文章于 2023-05-02 21:08:50 发布
阅读量3.5k 收藏 9
点赞数 1
分类专栏: 安全知识 文章标签: 网络 linux windows web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/122656320
版权

暗云木马Ⅲ病毒

1、病毒简介

暗云木马是迄今为止最复杂的木马之一,其通过感染硬盘MBR(主引导记录)——这是电脑开机时最早加载的程序位置,此时Windows尚未被加载,更不用说依赖Windows的杀毒软件了,所以当电脑完成正常开机过程后,病毒已在内存运行多时了,一般方法极难清除。就算用户将电脑硬盘格式化重装,因为暗云病毒存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。 

2、病毒危害

暗云木马是一个云控的木马,云端可以下发指令,动态地控制这些感染的机器,那么它可以做任何事情,它可以去窃取用户的账号、密码信息,也可以去偷用户虚拟的财产。目前“暗云3”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络,黑客不仅可以窃取网民个人隐私信息,而且一旦利用该僵尸网络发起DDoS攻击,将对互联网稳定运行造成严重影响。

3、终端验证

暗云木马使用了BootKit技术,无文件、无注册表、无进程,所以是非常难发现和清理的,通过进程追踪的方式在这里根本行不通。

1、磁盘

在问题主机上,使用WinHex(到百度软件中心下载)解析系统盘,查看是否存在特征串maimai666。

 “Tools”选项下拉,“Open Disk”打开系统盘即可:

 “Ctrl”键 + “F”键,打开搜索功能,输入特征串“maimai666”

如果存在,则证明有问题。

2、使用wireshark抓包,则能看到有解析maimai666.com的字符串

4、查杀处理

1、安天专杀:

(1)使用PE镜像方式启动操作系统(推荐使用大白菜作PE工具,此处不再赘述)

(2)在WinPE启动环境下,运行安天RainbowDay(暗云Ⅲ)专杀工具,并点击“开始排查”按钮。当显示发现MBR被“暗云Ⅲ”修改后,提示是否修复,点击“确定”按钮开始修复

(3)扫描完毕后点击“威胁清除”按钮,清除检测到的“暗云Ⅲ”恶意代码

(4)重新启动操作系统,结束修复 

 下载地址: 

http://down.lmtxz1.net/20171205/LaoMaoTao_STA_bd.exe

http://www.antiy.com/tools/rainbowday.zip

安天专杀说明:已经直接找安天的人确认过了,此专杀工具不支持Win10,有蓝屏风险,并不能保证一定清理干净,并不能保证系统起不来等风险。 PE镜像启动意味着客户需要有一个U盘PE系统或者光盘PE系统,插入到中毒主机后,使主机从PE启动。

2、深度格式化后重装系统

将中毒主机硬盘拆卸下来,挂载到干净系统中,进行全盘深度格式化处理,最后才重装系统。此方法干净、彻底,记得把需要的文档资料备份出来即可

III木马技术分析
不忘初心,护天下安全!
08-25 613
2017年6月9日,关于一款名为“III”木马的信息在互联网传播,据称此木马具有隐蔽性强、潜在危害大、传播范围广等特点。木马主要通过外挂、游戏辅助、私服登录器等传播,此类软件通常诱导用户关闭安全软件后使用,使得木马得以乘机植入。木马主要通过控进行任务发布,传播及执行恶意功能时无文件写入磁盘,同时木马所具有的bootkit能力也使得木马的运行更加隐而且难以查杀。首次上传VirusTotal时间。首次上传VirusTotal时间。首次上传VirusTotal时间。...
木马专杀软件测试自学,5款免费杀软“紫狐”木马查杀测试
weixin_39543835的博客
07-22 1470
本帖最后由 idayong 于 2018-9-21 21:57 编辑昨天看到360推送的紫狐木马http://www.360.cn/n/10386.html 里面提供了样本,这次正好来测一下“带毒环境”各家主流杀软的查杀能力(此前评测大都为引擎检出率的测试)主要选出5款大家常用的杀软进行测试:(均升级到2018/09/21病毒库,使用“快速扫描”模式进行查杀测试)系统环境:Windows7 x64...
木马变种来袭:格式化硬盘都杀不掉
weixin_33701294的博客
06-02 300
肆虐多年的木马近日出现多个变种,会感染硬盘主引导记录(MBR),开机启动时间比杀毒软件还要早,因此不但无法查杀,即使格式化硬盘也不能根治。 木马是迄今为止最复杂的木马之一,曾经感染过数百万电脑,它用了很多复杂的新技术来长期潜伏在系统中,尤其是借助BootKit直接感染硬盘引导分区。 攻击者精心制作的这个恶意程序功能复杂,开发技巧很高,采用多种技术...
木马系列木马
ak761636411的博客
08-12 461
今日客户资讯我木马的相关信息,所以我就在网上查了一下,顺便加深了认识: (1)感染磁盘MBR,也就是只感染Windows系列木马通过感染磁盘MBR来实现开机启动,三代其启动过程,基本没变,都是由MBR开始通过int 15中断一步步的hook来跟随系统的引导流程进入系统内核执行,该套代码可兼容xp、vista、win7、win8等主流操作系统,包括64位和32位。 (...
小心病毒木马变种来了
weixin_33692284的博客
07-04 222
日前,国家互联网应急中心(CNCERT)发布通报称:木马程序变种正在互联网上快速传播,我国境内已有大量用户感染,建议用户使用安全软件进行查杀。 据了解,病毒传播者将攻击母体捆绑在游戏外挂或私服工具中,或者干脆假冒游戏外挂和私服工具,欺骗游戏玩家下载安装。 多家网络安全机构监测分析发现,系列木马会感染磁盘主引导区,黑客可以利用端指令实现对染毒电脑...
木马病毒
03-26
木马病毒的定义、区别和防范方法 在计算机安全领域中,木马病毒都是常见的恶意代码,但它们之间有着明显的区别。木马是指隐藏在正常程序中的恶意代码,具备破坏和删除文件、发送密码、记录键盘和攻击 Dos 等...
信息安全_从木马看威胁情报的溯源与追踪.pptx
08-14
""木马是这一领域的一个典型例子,它展示了恶意软件如何通过复杂的隐蔽手段逃避检测,并进行大规模的DDoS攻击。本篇将深入探讨""木马的溯源与追踪技术,以及威胁情报在网络安全中的作用。 首先,""木马...
恶性木马专杀工具解决顽固病毒木马浏览器首页劫持问题
04-07
在IT领域,安全是至关重要的一个环节,尤其是对于个人用户来说,电脑被恶意软件或木马病毒感染往往会导致诸多问题。本文将围绕标题“恶性木马专杀工具解决顽固病毒木马浏览器首页劫持问题”及相关的描述进行深入探讨...
C++木马病毒的查杀设计与实现(含源码)
12-04
在IT行业中,木马病毒是计算机安全领域的一大挑战。C++作为一门强大的编程语言,被广泛用于编写各类软件,包括恶意软件。本话题主要探讨的是如何利用C++技术设计和实现一个木马病毒的查杀工具,这涉及到多个重要的...
网络资源重污染:超过20家知名下载站植入Killis木马
weixin_34362790的博客
03-08 926
360安全卫士 · 2015/09/23 13:54Xcode编译器引发的苹果病毒大爆发事件还未平息,又一起严重的网络资源带毒事故出现在PC互联网上。这是一个名为Killis(杀是)的驱动级木马,该木马覆盖国内二十余家知名下载站,通过各大下载站的下载器或各种热门资源传播,具有控下发木马、带有数字签名、全功能流氓推广、破坏杀毒软件等特点。根据360安全卫士监测,最近10小时内,Killis木马已经...
常见的几种Windows后门持久化方式
qq284489030的博客
05-09 2242
0×0 背景 持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用。 0×1 注册表自启动 最常见的在指定键值添加一个新的键值类型为REG_SZ,数据项中添写需要运行程序的路径即可以启动,此类操作一些较为敏感容易被本地AV...
2017年重大网站安全漏洞
m0_74079109的博客
05-02 331
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
”BootKit木马详细技术分析
weixin_34319999的博客
03-08 1053
腾讯电脑管家 · 2015/01/30 12:580x00 “木马简介:“”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机, 木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装系统格式化硬盘也无法清除该木马。该木马使用了很多创新的技术,有以下特点:第一、隐蔽性非常高,通过Hook磁盘驱动实现对...
记一次阿里木马排查过程
dreamer2020的专栏
08-07 4593
问题描述 接到阿里报警邮件,说是一台ECS有恶意进程。查看阿里安全详情,发现如下情况: 登录到服务器上检查/bin目录,发现该文件确实不对,大小变成的1.1M,类似的还有netstat。如下图: 正常ubuntu系统下的ps才96K,netstat大小为117K,上述命令文件被恶意窜改了。此外,还发现启动脚本(/etc/rc1.d, /etc/rc2.d, /etc/rc3.d, /et...
服务器木马文件该如何应对,服务器木马入侵怎么办?服务器中木马怎么排查?...
weixin_39650756的博客
08-09 977
由于服务器的扩展方便,并且能够减少硬件方面的维护成本,因此使用服务器的用户数量越来越多,但是服务器也同样存在安全方面的隐患,被入侵的案列也是时有发生。那么服务器木马入侵怎么办?服务器中木马怎么排查?我们来了解下吧。服务器木马入侵怎么办服务器木马入侵怎么办?我们在确定自己的服务器被入侵后,千万不要乱了阵脚,可以按部就班的依据下列操作来进行。1、修改管理员账户密码建议密码长度不小于8位,...
内核APC&用户APC详解
hongduilanjun的博客
09-14 1016
比如:进0环时的位置存储在EIP中,现在要提前返回,而且返回的并不是原来的位置,那就意味着必须要修改EIP为新的返回位置。那原来的值怎么办呢?结构,这里当APC是内核APC的时候存储的是真正的APC地址,当APC是用户APC的时候存储的是指向用户APC的总入口。然后修改eip,这里永远返回一个固定的位置,但是这个位置在每次系统启动的时候都不相同,存放在3环的。当线程从用户层进入内核层时,要保留原来的运行环境,比如各种寄存器,栈的位置等等 (里面存储的是内核APC的地址还是APC的的总入口,然后再跳转。
windows核心编程--SEH(结构异常处理)
Mobidogs Blog
01-17 1781
SEH 的工作原理。         Windows 程序设计中最重要的理念就是消息传递,事件驱动。当GUI应用程序触发一个消息时,系统将把该消息放入消息队列,然后去查找并调用窗体的消息处理函数(CALLBACK),传递的参数当然就是这个消息。我们同样可以把异常也当作是一种消息,应用程序发生异常时就触发了该消息并告知系统。系统接收后同样会找它的“回调函数”,也就是我们的异常处理例程。当然,如果我们
智能一代平台(十六):解决Linux服务器被植入木马总结
热门推荐
通往精英的成长之路
03-12 2万+
【前言】 继上次Redis服务器被劫持风暴(高校平台(十三):Redis服务器被劫持风波)过后十多天后,病毒对我们总是恋恋不舍,又一次的来到我们身边;有了上次的经验后,这次处理起来虽然也有些波折,但是相对来说迅速很多;下面是这次解决的整体流程,希望会对读者有所启发。 【跌宕起伏研究之路】 一、发现病毒: 1、被通知: 201...
国内重大网络安全事件
最新发布
02-19
### 国内历年重大网络安全事件汇总 #### 2017年:WannaCry勒索病毒爆发 2017年5月,全球范围内爆发了大规模的WannaCry勒索病毒感染事件。该病毒利用Windows操作系统中的SMB漏洞进行传播,导致大量计算机文件被加密锁定,要求支付比特币赎金才能解锁。在中国,多所高校校园网以及部分企业内部网络受到严重影响[^1]。 #### 2018年:“Ⅲ”木马程序感染百万台电脑 2018年初,“Ⅲ”木马程序在国内广泛传播,累计感染超过一百万台个人电脑。“Ⅲ”的特点是可以隐藏自身并修改系统启动项,在用户不知情的情况下执行恶意操作,如下载其他恶意软件、参与DDoS攻击等行为。此次事件暴露出我国互联网环境中存在较为严重的安全隐患问题[^2]。 #### 2019年:某知名酒店集团客户信息泄露 据报道,一家大型连锁酒店集团旗下多家分店长期存在的数据库配置不当情况最终引发了一起严重的信息泄漏事故。黑客通过未授权访问获取到了数亿条住客记录,其中包括姓名、身份证号、电话号码等多项敏感个人信息。此案件不仅给涉事公司带来了巨大经济损失和社会声誉损害,同时也引发了社会各界对于数据安全和个人隐私保护的高度关注[^3]。 #### 2020年:疫情期间远程办公平台遭受攻击 新型冠状肺炎疫情发生期间,随着越来越多的企业采用在线协作工具来支持员工居家工作模式转变,一些针对这些应用和服务的安全威胁也随之增加。例如Zoom视频会议软件就曾多次曝出安全漏洞;而钉钉也曾遭遇过API接口滥用等问题,这些问题都暴露出了特殊时期下新型业务场景中存在的潜在风险挑战[^4]。 ```python # Python代码示例用于展示如何处理时间序列数据 import pandas as pd data = { 'year': [2017, 2018, 2019, 2020], 'event': ['WannaCry勒索病毒', '木马程序', '酒店客户信息泄露', '远程办公平台受攻击'] } df = pd.DataFrame(data) print(df) ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值