暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址

“暗云”是一个迄今为止最复杂的木马之一，感染了数以百万的计算机，那么“暗云”木马感染数据免费查询服务网址在哪里呢？ 哪里可以查询我们使用的IP地址是否受到木马感染呢？下面小编就带大家一起来详细了解下吧。

暗云木马感染数据免费查询官方网址入口CWv鄂东网|www.xianzhaiwang.cn

2017年6月9日开始，一款名为“ 暗云”的木马在互联网大规模传播，“暗云”木马具有隐蔽性强、潜在危害大、传播范围广等特点。6月9 日至今，国家互联网应急中心监测发现我国境内有160余万台电脑感染了此木马。CWv鄂东网|www.xianzhaiwang.cn

据新华社6月13日消息，多家网络安全机构监测分析发现，暗云系列木马会感染磁盘主引导区，黑客可以利用云端指令，实现对染毒电脑的远程控制，用户电脑中的文档、IP地址、图文视频文件等重要信息在黑客眼前均一览无余。CWv鄂东网|www.xianzhaiwang.cn

而且，暗云木马并不在本地硬盘上生成文件完成破坏或攻击目的，即用户在本地找不到完成攻击的文件，指令只存在内存中，随时可以通过网络更换攻击方式。即使用户重新格式化硬盘，仍不能将该木马彻底查杀。CWv鄂东网|www.xianzhaiwang.cn

除了将受害电脑置于凶险境地之外，黑客还利用这些电脑展开DDos攻击。这些电脑同时向一些网站的服务器发送无用的服务请求，导致服务器无法提供正常的网络服务，网站访问也变得异常卡慢。CWv鄂东网|www.xianzhaiwang.cn

分析发现，暗云系列木马程序已具备流量牟利能力，具有互联网黑产盈利特性，有可能对我国互联网稳定运行造成影响。CWv鄂东网|www.xianzhaiwang.cn

为此，国家互联网应急中心首次开通了“暗云”木马感染数据免费查询服务，点击网址http：//d.cert.org.cn 即可查询您使用的IP地址是否受到木马感染。CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

同时，国家互联网应急中心建议用户近期采取积极的安全防范措施：不要选择安装捆绑在下载器中的软件，不要运行来源不明或被安全软件报警的程序，不要下载运行游戏外挂、私服登录器等软件;定期在不同的存储介质上备份信息系统业务和个人数据;下载安全软件对暗云木马程序进行检测和查杀。CWv鄂东网|www.xianzhaiwang.cn

如果您有意见或建议，欢迎通过电话 010-82990999或邮箱cncert@cert.org.cn与国家互联网应急中心联系。CWv鄂东网|www.xianzhaiwang.cn

说明：CWv鄂东网|www.xianzhaiwang.cn

1. “暗云”木马暂只能感染Windows桌面系统，请您在Windows 电脑浏览器中打开查询页面进行查询，地址：http：//d.cert.org.cn。CWv鄂东网|www.xianzhaiwang.cn

2. 如果您使用宽带拨号上网或手机上网，由于 IP地址经常变化，会导致查询结果不准确，仅供参考。CWv鄂东网|www.xianzhaiwang.cn

>>>点击xianzHaiwang.cn了解精彩的“暗云BootKit木马详细技术分析”CWv鄂东网|www.xianzhaiwang.cn

“暗云”木马简介：CWv鄂东网|www.xianzhaiwang.cn

“暗云”是一个迄今为止最复杂的木马之一，感染了数以百万的计算机，暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术，直接感染磁盘的引导区，感染后即使重装格式化硬盘也无法清除。CWv鄂东网|www.xianzhaiwang.cn

该木马使用了很多创新的技术，有以下特点：CWv鄂东网|www.xianzhaiwang.cn

第一、隐蔽性非常高，通过Hook磁盘驱动实现对已感染的MBR进行保护，防止被安全软件检测和清除，并且使用对象劫持技术躲避安全人员的手工检测。隐蔽性极高，截至目前为止，几乎所有的安全软件都无法检测和查杀该木马。CWv鄂东网|www.xianzhaiwang.cn

第二、云思想在暗云木马中的使用：木马以轻量级的身躯隐藏于磁盘最前端的30个扇区中，这些常驻与系统中代码并没有传统木马的功能，这些代码的功能仅仅是到执行的服务器下载其他功能代码到内存中直接执行，这些功能模块每次开机都由隐藏的模块从云端下载。因此木马体积小巧，且云端控制性强。CWv鄂东网|www.xianzhaiwang.cn

第三，Ring 3与Ring 0的通信方式：微软正统的通信方式是Ring 0代码创建驱动设备，Ring 3代码通过打开Ring 0创建的设备开实现相互之间的通信。常见的木马使用的通信方式则是在Ring0对指定的API函数进行Hook，而暗云木马是通过注册回调的方式来实现。CWv鄂东网|www.xianzhaiwang.cn

第四，操作系统全量兼容：一份BootKit同时兼容x86、x64两种版本的操作系统，且能够兼容xp、win7等当前主流的操作系统版本，因此影响范围十分广泛。在推广获利方面，该木马也是涵盖当前主流的推广获利渠道——推广小网站、推广手机应用、推广游戏、大网站加推广ID。CWv鄂东网|www.xianzhaiwang.cn

第五，有效对抗杀软：有于木马的主体在内核中运行，且启动时间比所有的安全软件都早，因此大部分的安全软件无法拦截和检测该木马的恶意行为。木马能够在内核中直接结束部分安全软件进程，同时可以向任意安全软件进程插入APC执行。插入的APC代码会关闭安全软件的文件监控设备句柄，会导致安全软件文件监控失效，大大减少了被检测的机率。CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

图1. 暗云木马启动流程图CWv鄂东网|www.xianzhaiwang.cn

CWv鄂东网|www.xianzhaiwang.cn
CWv鄂东网|www.xianzhaiwang.cn

图2 . 暗云木马模块功能分工示意图CWv鄂东网|www.xianzhaiwang.cn

一、常驻计算机模块行为CWv鄂东网|www.xianzhaiwang.cn

概述：CWv鄂东网|www.xianzhaiwang.cn

电脑开机后，受感染的磁盘MBR第一时间获得CPU的控制权，其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行，木马主体获得执行后通过挂钩int 15中断来获取第二次执行的机会，随后读取第二扇区中的备份MBR正常地引导系统启动。CWv鄂东网|www.xianzhaiwang.cn

系统引导启动时会通过int 15中断查询内存信息，此时挂钩15号中断的木马便得以第二次获得CPU控制权，获得控制权后木马挂钩BILoadImageEx函数，调用原始15号中断并将控制权交回给系统继续引导。CWv鄂东网|www.xianzhaiwang.cn

当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时，木马便第三次获得控制权，获得控制权后木马再一次执行挂钩操作，此次挂钩的位置是ntoskrnl.exe的入口点，随后将控制权交给系统继续引导。CWv鄂东网|www.xianzhaiwang.cn

当引导完毕进入windows内核时，挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权，此时木马已真正进入windows内核中，获得控制权后，分配一块内存空间，将木马内核的主功能代码拷贝到分配的空间中，并通过创建PsSetCreateThreadNotifyRoutine回调的方式使主功能代码得以执行。至此完成木马由MBR到windows内核的加载过程。

暗云木马感染数据免费查询地址入口_暗云木马感染数据免费查询官方网址

文章地址: http://news.xianzhaiwang.cn/roll/547196.html