暗云木马变种来袭:格式化硬盘都杀不掉

最新推荐文章于 2023-01-27 10:22:29 发布
最新推荐文章于 2023-01-27 10:22:29 发布
阅读量260 收藏 1
点赞数
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/116283
版权

肆虐多年的暗云木马近日出现多个变种,会感染硬盘主引导记录(MBR),开机启动时间比杀毒软件还要早,因此不但无法查杀,即使格式化硬盘也不能根治。

暗云木马是迄今为止最复杂的木马之一,曾经感染过数百万电脑,它用了很多复杂的新技术来长期潜伏在系统中,尤其是借助BootKit直接感染硬盘引导分区。

攻击者精心制作的这个恶意程序功能复杂,开发技巧很高,采用多种技术方案对抗安全软件,并且更新频繁。


080712_XDeC_2720166.jpg

三代暗云木马比较


080748_huoy_2720166.jpg

暗云Ⅲ 木马启动流程

据悉,最新的木安云马变种会将攻击母体捆绑在游戏外挂或私服工具中,或者干脆假冒游戏外挂和私服工具,欺骗游戏玩家下载安装,并通过联网获得攻击指令。病毒作者可以非常灵活地控制中毒电脑,执行任意操作。

暗云病毒感染后,会立刻感染硬盘MBR(主引导记录)——这是电脑开机时最早加载的程序位置,此时Windows尚未被加载,更不用说依赖Windows的杀毒软件了,所以当电脑完成正常开机过程后,病毒已在内存运行多时了,一般方法极难清除。

就算用户将电脑硬盘格式化重装,因为暗云病毒存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。

安全专家解释说:“暗云病毒通过联网下载攻击指令,再将攻击代码在内存中运行,并不在本地硬盘上生成文件完成破坏或攻击目的。这是一种高超的攻击技巧,本地找不到完成攻击的文件,指令只在内存中,随时可以通过网络更换攻击方式。目前,我们监测到的攻击代码是刷流量牟利,以及发起DDoS攻击。”

本文来自开源中国社区 [http://www.oschina.net]

weixin_33701294
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
让所有木马都不起作用的方法(变态)
09-30
总的来说,防范木马侵袭需要综合策略,包括保持系统和软件更新、安装防病毒软件、避免打开未知来源的链接或附件,并定期备份重要数据。通过了解和实施这些基础知识,我们可以有效地降低成为木马受害者的风险。
基于变形方法的网页木马相关技术分析.pdf
04-07
木马导致的网络不安全性已经引起了社会各界的普遍关注,尤其是网络木马带来的盗号、流氓软件、拒服务供给等黑客行为给人们的工作和生活带来了较大的安全隐患,所以加强对基于变形方法网页木马的研究力度具有非常...
木马暗云系列木马
ak761636411的博客
08-12 404
今日客户资讯我暗云木马的相关信息,所以我就在网上查了一下,顺便加深了认识: (1)感染磁盘MBR,也就是只感染Windows: 暗云系列木马通过感染磁盘MBR来实现开机启动,三代暗云其启动过程,基本没变,都是由MBR开始通过int 15中断一步步的hook来跟随系统的引导流程进入系统内核执行,该套代码可兼容xp、vista、win7、win8等主流操作系统,包括64位和32位。 (...
暗云木马Ⅲ病毒
swordheart的博客
01-23 3247
暗云木马Ⅲ病毒 1、病毒简介 暗云木马是迄今为止最复杂的木马之一,其通过感染硬盘MBR(主引导记录)——这是电脑开机时最早加载的程序位置,此时Windows尚未被加载,更不用说依赖Windows的毒软件了,所以当电脑完成正常开机过程后,病毒已在内存运行多时了,一般方法极难清除。就算用户将电脑硬盘格式化重装,因为暗云病毒存在于硬盘MBR,仅仅格式化硬盘不会对病毒造成任何影响。 2、病毒危害 暗云木马是一个云控的木马,云端可以下发指令,动态地控制这些感染的机器,那么它可以做任何事情,它可以去窃取.
小心病毒!暗云木马变种来了
weixin_33692284的博客
07-04 182
日前,国家互联网应急中心(CNCERT)发布通报称:暗云木马程序变种正在互联网上快速传播,我国境内已有大量用户感染,建议用户使用安全软件进行查。 据了解,病毒传播者将攻击母体捆绑在游戏外挂或私服工具中,或者干脆假冒游戏外挂和私服工具,欺骗游戏玩家下载安装。 多家网络安全机构监测分析发现,暗云系列木马会感染磁盘主引导区,黑客可以利用云端指令实现对染毒电脑...
暗云”BootKit木马详细技术分析
weixin_34319999的博客
03-08 923
腾讯电脑管家 · 2015/01/30 12:580x00 “暗云木马简介:“暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机, 暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装系统格式化硬盘也无法清除该木马。该木马使用了很多创新的技术,有以下特点:第一、隐蔽性非常高,通过Hook磁盘驱动实现对...
推荐几款网盘源码程序
最新发布
正安一片瓦的软件技术园地
01-27 5万+
喜欢收集资源,喜欢分享资源,网盘无疑是必不可少的工具。百度、阿里网盘虽然很好用,但自己有硬盘和主机资源的,都想自建网盘存储数据,实现存储自由和数据安心。
信息安全_从暗云木马看威胁情报的溯源与追踪.pptx
08-14
4. **监控追踪能力**:持续监控网络活动,通过Yara规则等工具实时检测新样本,及时发现"暗云"木马的新变种和活动,如2016年4月、11月和12月的追踪案例所示。 威胁情报不仅是检测已知攻击,它还能帮助预测未知攻击。...
CS木马技巧分享.pdf
08-11
01Shellcode加载器 02 Powershell免 03 利用场景介绍
暗组远控2010脱壳版
02-22
DRAT 2010 V4.3 正式版 Build 1220(已完美脱壳) 编译环境:Vista+Delphi7 使用环境:Win2K\WinXp\Win2003\Vista\Win2008\Window7 1.系统信息:可以查看操作系统版本、Cpu类型、内存信息、毒软件、防火墙、检测辅助(虚拟机、360安全卫士等)、硬盘大小等 2.文件管理:文件浏览、上传、下载、删除、运行 目录创建和删除。 3.屏幕控制:可以查看对方屏幕,鼠标控制,键盘控制 4.视频捕捉:可以捕获对方的视频摄像头影像 5.超级终端:也就是telnet命令执行 6.进程管理:可以查看对方进程,并可以终止进程。 7.插件管理:可以加载自定义插件扩展功能。 服务端体积:44.5 KB(压缩) 97.5 KB(无压缩) 启动方式简要说明 1.Active启动 第一次安装:360安全卫士无提示,即时上线 更新安装:文件及时替换完成 不重复上线 2.新建服务: 第一次安装:360安全卫士有提示,即时上线 更新安装:文件及时替换完成 不上线(防止重复上线发生) 插件使用及插件相关参数说明: HTTP.dll Http插件 0.1 By New4[D.S.T] 开放端口:5555 Socks4.dll Socks4插件 0.1 By New4[D.S.T] 开放端口:8080 Open3389.dll Open3389插件 0.1 By New4[D.S.T] 开放端口:3389(或原来的端口) UnSRAT.dll UnSRAT插件 0.1 By New4[D.S.T] 加载后自动清理,成功后生成日志log.txt 插件添加后:%SystemRoot%\System32\DRAT 为插件存放目录,如需可手动上传即可。 DRAT.exe 主程序文件校验: MD5: F543BDCB5282307AA37DAEDA72A16002 SHA1: 194ECC0483AA17FB7AFF6BF437FE02560ED1A63D CRC32: 666CDFD5 Server.dat 服务端文件校验:(如果发现MD5有问题请不要使用) MD5: 4CFC55CD6FAEAB3E4ACE1FD80F63A5E9 SHA1: 7EBCED74F6F5C421E9EDBA0DFD5AC2B1D7ECAAFF CRC32: 0C79CD0D 更新日志: V3.3 更换网络核心组件到Indy10 修正屏幕监控无法停止的错误 修正屏幕控制停止后连接未断开的错误 修正键盘输入时回车符导致客户端线 键盘输入不兼容旧版 修正GB内存的错误显示问题 修正客户端在注销状态无法控制的错误 增加发送Ctrl+Alt+Del键功能用于远程登录(只支持服务启动) 支持多选文件下载(暂时还不稳定) V3.4 修正异常线导致控制端崩溃的Bug 重写并优化屏幕控制部分代码 修正主机下线日志不显示及统计不正常的bug 重写插件管理接口代码 配置服务端可自选保存路径 修正文件传输被控端异常断开导致控制端内存占用过高的bug 修正文件传输控制端异常断开导致被控端出错的bug V3.5 修正Active Setup启动不稳定的bug 重写被控端网络连接逻辑判断 修正控制端关闭时导致机的bug 由于屏幕算法原因暂时不支持远程登录暂时删除 V3.6 屏幕监控增加捕获层功能(完美屏幕查看) 屏幕监控增加全屏模式(按F12键) 屏幕监控增加剪切板功能(尚有bug) 获取外网IP函数改写(不会出现程序打不开的bug) 修正一个http上线可能导致暂时性鸡的bug 支持远程登录修复发送Ctrl+Alt+Del键功能用于远程登录(只支持服务启动) V3.7 优化远程信息获取部分代码 通信协议修改不兼容旧版 修正一个上线可能存在的bug 重写视频功能速度有所提升 被控端线检测功能修复 在次修正Active Setup启动不稳定的bug 配置服务端默认.exe后缀 异常线容错次数设置为5次 V3.8 修正无视频点击视频设备主机线的bug 文件传输代码更换回DRAT3.2版 使用最新的系统判断函数(支持显示Vista\2008) 重新开启皮肤渲染效果(并提供56款皮肤更换,可到主页下载) 修改服务端和客户端线检测机制 V3.9 重写文件传输现在更加稳定 文件续传功能仅支持下载续传 文件传输功能支持Bit位传输 修正线检测的一个逻辑错误 新版修改协议不兼容旧版 V4.0 兼容Windows7 RTM版(由于注入原因暂时还不支持屏幕监控) 屏蔽了Active启动状态下发送Ctrl+Alt+Del键功能的错误 修正一个Active启动状态重复上线的问题 关闭窗口时如果出现关闭困难或者跳至主窗口请关闭皮肤功能 修正控制端心跳包检测 时间为60秒 修正被控端心跳包检测错误导致上下线 修复下线气泡提示的Bug 增加服务端配置信息保存项 修正设置皮肤导致读取其他配置的逻辑错误 修正摄像头MPEG录像功能并启用 修正屏幕传输线时出现的无法关闭窗口的错误(Error #10054) 修正大量主机线时可能会导致程序停止响应并出现内存错误 由于indy10线程池问题将网络组件换回indy9 插件管理功能移至控制中心 增加屏幕控制顶部标示主机IP地址 修正3.3之后版本可能会出现占CPU高的bug 修正内测第5版的主机下线后主机总数计数错误的bug 管理中心插件模块增加本地上传插件功能 优化自动上线主机统计部分代码 对服务端部分代码进行优化缩小体积 修正内存识别错误采用MB为单位计算 重写文件管理部分代码加快传输不兼容旧版 增加连接上限设置\是否使用服务端心跳设置\自动断开重复主机设置(默认不启用) 修改文件下载路径文件夹名以IP地址命名 修正旧版下载无法续传的错误 优化控制端命令发送部分代码 V4.1 修正一个同主机屏幕多开的bug 修正一个插件管理功能无法删除插件的bug 重写优化控制中心部分代码使运行更稳定 文件传输删除任务功能支持多选删除 控制中心获取的信息细节优化 修正上一个版本无法删除目录的bug 传输命令格式变更完全加密 V4.2 修正上一个版本插件传输失败的bug 抛弃旧版本文件传输功能重写 文件传输功能支持断点续传 文件传输功能支持文件多选操作 抛弃旧版本文件浏览功能重写 使用windows接口打造仿真explorer 使用windows本地图标组最大限度保证显示与类型相符 可正常读取网络磁盘\可读写光盘的数据(DRIVE_REMOTE\DRIVE_FIXED) V4.3 修正部分机器远程主机图标获取失败的bug
远程控制编程技术书籍和源代码
07-04
这个书籍系统而全面的介绍了远程控制的技术和方法同时提供了随书源代码.
价值上万VC远控源码学习用
12-19
VC远控源码集合 大灰狼 star rat Gh0st 偷窥者 守望者 PCSHARE等几十个经典源码,可以下载学习交流
为gh0st添加Tab分组教程
02-09
为gh0st添加Tab分组教程为gh0st添加Tab分组教程
恶心远控源代码-----独立
03-21
恶心远控源代码呵呵。。。 恶心远控源代码-----独立
windows核心编程--SEH(结构异常处理)
Mobidogs Blog
01-17 1687
SEH 的工作原理。         Windows 程序设计中最重要的理念就是消息传递,事件驱动。当GUI应用程序触发一个消息时,系统将把该消息放入消息队列,然后去查找并调用窗体的消息处理函数(CALLBACK),传递的参数当然就是这个消息。我们同样可以把异常也当作是一种消息,应用程序发生异常时就触发了该消息并告知系统。系统接收后同样会找它的“回调函数”,也就是我们的异常处理例程。当然,如果我们
关于一款远控木马的简单分析
followingturing 追随图灵的路上...
08-24 6986
其实很多朋友都不明白木马是如何简简单单的窃取了你的帐号密码乃至你的网银帐号,趁其你使用网银U盾还没有拔下来,直接操纵你的计算机进行转账,或者更高级的在你转账之时修改网页内容,甚至在你不知不觉中开启你计算机的摄像头,对你进行一个全方位360度兼后空翻720度的监控。 下面我以一款木马作为实例为大家做一个简单的分析。 这是一款体积非常小的控制软件,并且它还具备着较强的穿透防火墙和毒软件的主动防御
内核中睡眠 - Sleeping in the kernel
木马屠城
03-19 2398
Kernel Korner - Sleeping in the Kernel Jul 28, 2005  By Kedar Sovani  in Linux Journal http://www.linuxjournal.com/article/8144 The old sleep_on() function won't work reliably in an ag
记一次mykings&暗云挖矿木马的排查与解决
wanger5354的博客
12-21 2265
微信公众号:运维开发故事,作者:wanger 起因 之前有一台做测试的Windows server2012阿里云服务器的防火墙关之后开机总是启动,想了很多办法也没找到原因就提了工单问了售后,结果售后也没发现问题,并提示我服务器中病毒了,赶紧查看云监控,发现有一个进程的CPU一直占用很高,进程名称叫lsma12.exe 排查 删除那个挖矿进程及挖矿的程序,挖矿程序位置在C:/windows/inf/aspnet/lsma12.exe,删除之后重启之后过了12点后又出现了,查看发现存在5个定时任务,删.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值