暗云III木马安全预警通告.PDF

暗云III 木马安全预警通告 暗云III 木马 安全预警通告 2017 年 06 月 14 日 暗云III 木马安全预警通告 目录 第1 章 安全通告3 第2 章 木马信息4 2.1 木马描述4 主要恶意功能4 木马传播方式4 2.2 风险等级4 第3 章 处置建议5 3.1 影响系统或应用5 3.2 定位受影响系统5 3.3 防护方案6 3.4 查杀方案7 第4 章 漏洞影响面评估10 第5 章 技术分析11 5.1 目标样本 11 5.2 样本分析 11 安装程序分析11 MBR 的改写17 Bootkit 功能分析24 5.3 BOOTKIT 所加载木马的分析28 第6 章 参考文档35 第 2 页 共 35 页 暗云III 木马安全预警通告 第1章 安全通告 尊敬的客户： 2017 年6 月9 日起，一款名为“暗云III”的木马被揭露出来。360 威胁情报 中心通过技术分析结合已公开发布信息确认这是一个影响面广、潜在危害大的现 实威胁，需要用户引起重视并采取应对措施。 木马主要通过外挂、游戏辅助、私服登录器等传播，此类软件通常诱导用户 关闭安全软件后使用，使得木马得以乘机植入。木马主要通过云控进行任务发布， 传播及执行恶意功能时无文件写入磁盘，同时木马所具有的 bootkit 能力也使得 木马的运行更加隐蔽而且难以查杀。 本报告对木马的相关技术进行分析，并提供解决方法和检查确认建议。 360 安全监测与响应中心也将持续关注该事件进展，并第一时间为您更新该 木马信息。 第 3 页 共 35 页 暗云III 木马安全预警通告 第2章 木马信息 2.1 木马描述 主要恶意功能 目前已知的为根据攻击者的指示对所指定的目标系统执行DDOS、CC 攻击， 木马所感染的电脑构成几个庞大僵尸集群，有消息称在前不久发生的多起大流量 DDOS 攻击背后的基础恶意代码就是此木马。由于木马具备连接CC 控制端下载 执行攻击者所发布任意代码的能力，理论上可以执行各种恶意功能，包括和不仅 限于拒绝服务、窃密、勒索等。 木马传播方式 目前已知主要的传播方式为通过诱使用户下载安装恶意外挂、游戏辅助、私 服登录器等传播，此类软件通常诱导用户关闭安全软件后使用，使得木马得以乘 机植入系统潜伏等待指令执行恶意功能。 2.2 风险等级 360 安全监测与响应中心风险评级为：高危 第 4 页 共 35 页 暗云III 木马安全预警通告 第3章 处置建议 3.1 影响系统或应用 运行Windows 操作系统的电脑 3.2 定位受影响系统 由于木马本身的底层执行机制，在运行中的感染木马的系统中执行检查确认 感染状态比较麻烦，目前相对比较低成本的方案为通过检查网络中木马 CC 通 信来定位受影响的系统。360 威胁情报中心提供如下的URL 列表，如果在网络中 出现对如下这些URL 的访问则相应的源IP 系统非常有可能已受木马控制： :8877/ds/k