当前位置 > 首页 > 新闻与公告 > 正文
关于做好“暗云Ⅲ”木马病毒防范的紧急通知
日期: 2017年06月15日 15:57  点击:[]

各校园办公网用户:

  201769日开始,一款名为“暗云Ⅲ”的木马程序正在互联网上大量传播,小心你的电脑成为“肉鸡”。国家互联网应急中心(CNCERT)监测发现,该木马已感染主机超过162万台,其中我国境内主机占比高达99.9%,对我国互联网安全构成一定的威胁。

  “暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中,具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点,且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新其功能模块,可灵活变换攻击行为。

  一、木马病毒主要表现特征如下

  1、主要行为分析

  “暗云Ⅲ”病毒通过下载站大规模传播,并通过感染磁盘MBR实现开机启动,主要行为包含收集电脑网卡信息、读取远程服务器文件、自删除、写入自启动注册表、增加自启动、系统配置信息收集、创建网络套接字连接、进行的HTTP数据请求、下载远程文件并执行等行为。

  2、主要运行流程

  “暗云Ⅲ”病毒运行流程包含创建进程、服务、恶意行为、进程、注册表、释放恶意文件、释放文件、注入等敏感操作。

  3、网络反弹行为

  对木马程序控制端IP地址进行分析发现,“暗云Ⅲ”木马程序控制端涉及域名和IP信息有:wvw.9377.comc2tongji.b5156.comclient.9377.comtj1.b5156.comstatic.9377s.comcdnsource.9377.com121.10.141.10183.131.192.83

  4HTTP连接行为

  “暗云Ⅲ”木马程序在运行过程中会打开指定HTTP链接,具体链接地址如下:

  wvw.9377.com/api/client_data_receive.php?Name=9377cycs2&Channel=hyaz2a3&referer_param=b103&Version=1.0.0.2&IP=192.168.56.110&MAC=08-00-27-57-B9-08&Installtime=201

  并更新起功能模块5/10/15/1:35:04&ExeName=self

  5、释放文件行为

  “暗云Ⅲ”木马程序在运行时会释放一系列文件,其中包含各种 inetc.dllip.dllSystem.dllpc_game_cy2_tg[1].cssajax[1].jsjquery.SuperSlide.2.1.1[1].jsweblander.iniweblander.exe、赤月传说2.lnk等一系列子文件。

  6、子文件行为

  “暗云Ⅲ”子文件同样具有高危害性,具有打开服务控制管理器、遍历文件、读取远程服务器文件等敏感行为。

  总结:“暗云”系列木马程序具备流量牟利、发动分布式拒绝服务攻击(以下简称“DDoS攻击”)等能力,具有互联网黑产盈利特性。根据CNCERT监测结果可知,目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络,黑客不仅可以窃取我国百万计网民的个人隐私信息,而且一旦利用该僵尸网络发起DDoS攻击将对学校及互联网网络稳定运行造成严重影响。

  二、安全防范措施

  1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。

  2、定期在不同的存储介质上备份信息系统业务和个人数据。

  3、下载、升级360安全卫士和腾讯电脑管家等杀毒软件,及时打上操作系统最新补丁,对被感染主机及时采取有效措施进行控制,遏制攻击源的传播和和感染。

  4、“暗云”木马暂只能感染Windows桌面系统,请您在Windows电脑浏览器中打开此页面进行查询,由于学校网络出口采用地址池IP会经常变化,会导致查询结果不准确,仅供参考。查询地址:http://d.cert.org.cn

5、如通过查询发现自己的设备出现如下图所示提示,

为了防止病毒扩散和造成个人损失,请及时安装、升级杀毒软件并全盘杀毒,信息技术处将通过技术手段来排查中病毒的用户。

    

  

 

信息技术处

  2017615