暗云木马防范与查杀方法.PDF

“暗云”木马防范与查杀方法 一、“暗云”系列木马程序基本情况 “暗云”系列木马具有隐蔽性强、潜在危害大、传播范围广等特 点。目前最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端 服务器下载并更新功能模块，可灵活变换攻击行为，它用了很多复杂 的新技术来长期潜伏在系统中，尤其是借助BootKit 直接感染硬盘引 导分区，采用多种技术方案对抗安全软件，并且更新频繁。2017 年6 月9 日至今，国家互联网应急中心监测发现我国境内有160 余万台电 脑感染了此木马，该木马破坏性极强，即使重装系统、格式化磁盘也 无法将其清除。为此国家互联网应急中心专门推荐了 360 等安全软 件，可以帮助受害电脑快速检测查杀暗云木马变种。目前，该木马仅 能感染Windows 系统电脑。 二、“暗云”系列木马排查和防范措施 1.国家互联网应急中心开通了“暗云”木马感染数据免费查询服 务，点击以下网址 （或通过浏览器直接输入网址）： 即可查询使用的IP 地址是否受到木马感染。经查，我校部分学生用 户电脑感染了“暗云 III”系列木马，其出口 IP 地址分别为：① 30 、 ② 31 、 ③ 34 、 ④ 72。 2.不要选择安装捆绑在下载器中的软件，不要运行来源不明或被 安全软件报警的程序，不要下载带有游戏外挂的程序以及私服登录器 等软件。 3.定期在不同的存储介质上备份信息系统业务和个人数据。 4.下载主流杀毒软件进行检测和查杀。推荐使用 360 安全卫士、 360 杀毒等软件。 三、查杀方法 （以360 安全卫士为例） 用户正常开启最新版本的360 杀毒或安全卫士，都能够防御包括 “暗云”系列在内的MBR （磁盘主引导区）木马。如果关闭安全软件 而不慎中招，可以使用360 系统急救箱进行查杀，并修复被木马篡改 的MBR。经过实测，360 安全卫士中的360 系统急救箱是查杀暗云木 马最有效的安全软件。用户可以使用360 系统急救箱“顽固引导区木 马专杀”功能，把受到木马感染的 MBR （磁盘主引导区）修复干净。 再用360 安全卫士全盘扫描查杀，就能够把“暗云”木马释放的各种 广告插件和流氓推广程序都彻底杀光。 360 安全卫士的使用帮助（下载地址：/） 如下： 第1 步：下载360 安全卫士11.0 离线安装包 （setup.exe）。 图1 第2 步：执行setup.exe，出现如图2 所示的安装界面，选择 “是”。 图2 第3 步：出现如图3 所示的安装界面，选择是立即升级。 图3 第4 步：安装完毕后出现如图4 所示的运行界面 （建议养成每 周执行一次电脑体验的习惯）。 图4 第5 步：在如图5 所示的运行界面选择木马查杀。务必选择“全 盘查杀”，根据实际情况选择是否要安装 “系统急救箱” （如果选择 了“系统急救箱”请同时执行第 6 步），并将左下角的五个查杀引擎 全部开启、升级，然后进行全盘查杀。 图5 第6 步：在如图6 所示的运行界面，使用360 系统急救箱“顽固 引导区木马专杀”功能，把受到木马感染的MBR （磁盘主引导区）修 复干净。再用360 安全卫士全盘扫描查杀木马，就能够把“暗云”木 马释放的各种广告插件和流氓推广程序都彻底杀光。 图6 独立的360 系统急救箱下载地址是： /jijiuxiang