“暗云Ⅲ”可令电脑内置后门程序 影响覆盖主流Windows系统

　　“暗云”系列木马堪称迄今为止最复杂的木马种类之一，从2015年初被腾讯电脑管家首次捕获并查杀后，该木马不断更新迭代，持续对抗升级，变种接连而至。今年4月，多名网友向腾讯电脑管家反馈，在玩某射击游戏时，电脑突发卡顿问题。腾讯电脑管家发现，造成电脑卡顿的元凶正是暗云系列木马，因与“暗云Ⅱ”相比继续进化，被命名为“暗云Ⅲ”。目前，腾讯电脑管家已推出专杀版本，可准确检测和查杀暗云系列木马。

　　(腾讯电脑管家查杀“暗云Ⅲ”)

　　在对中招电脑进行检测的过程中，腾讯电脑管家安全研究人员发现，“暗云Ⅲ”启动过程与以往相同，都是由MBR开始通过int 15中断一步步的hook来跟随系统的引导流程进入系统内核执行，而该套代码可兼容XP、Vista、Win7、Win8等主流操作系统，包括64位和32位。一旦“暗云Ⅲ”入侵，用户电脑中将潜伏一个后门程序，而该后门程序能篡改系统内核信息，容易导致玩游戏时出现卡顿问题。

　　腾讯电脑管家安全研究人员通过对比发现，本次爆发的暗云木马与之前的版本有比较明显的晋级特征，在隐蔽性、兼容性以及对抗安全软件的能力上均进一步提升。“暗云Ⅲ”依旧是无文件无注册表，取消了多个内核钩子和对象劫持，使其变得更加隐蔽，即使专业人员也难以发现其踪迹;由于该木马主要通过挂钩磁盘驱动器的StartIO来实现隐藏和保护病毒MBR，而此类钩子位于内核很底层，不同类型、品牌的硬盘所需要的hook点不一样，且“暗云Ⅲ”增加了更多判断代码，能够感染市面上的绝大多数硬盘;此外，“暗云Ⅲ”对安全厂商的“急救箱”类工具做专门对抗，通过设备名占坑的方式试图阻止某些工具的加载运行。

　　(“暗云”系列木马)

　　暗云木马在2015年年初爆发，影响了近百万计算机。该木马能够使用多种复杂技术潜伏于电脑磁盘引导区中，通过云端数据下载病毒代码向电脑发起攻击，并可破坏杀毒软件功能，即便用户格式化硬盘也难以清除，堪称当年影响最大的病毒木马之一。在暗云木马爆发后，腾讯电脑管家第一时间跟进，并及时拦截查杀。从2015年至今，腾讯电脑管家时刻保持对该木马的监测，并成功在业内率先拦杀“暗云Ⅱ”和此次爆发的“暗云Ⅲ”。

　　(腾讯电脑管家“暗云Ⅲ”专杀工具)

　　腾讯安全反病毒实验室专家马劲松表示，“暗云”系列木马主要通过外挂、游戏辅助、私服登录器等传播，此类软件通常诱导用户关闭安全软件后使用，使木马得以乘机植入。建议广大游戏玩家持续保持腾讯电脑管家等安全类软件开启状态，不要运行来源不明和被安全软件报毒的程序。目前，腾讯电脑管家已经能够准确检测和查杀暗云系列木马，网友可在腾讯电脑管家官网下载“暗云”专杀版处理该木马。