近期,互联网上出现一种名为“暗云”的木马病毒,经哈尔滨工业大学等机构监测研究发现,该木马病毒通过游戏微端、外挂、*服私**登录器等方式进行传播,且隐蔽性较强,能够躲避安全防护软件的检测,包括我省在内,国内已发现大量的主机受到感染。
“暗云”是一个迄今为止最复杂的木马之一,感染了数以百万的计算机,暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。其使用了BootKit技术,直接感染磁盘的引导区,感染后即使重装格式化硬盘也无法清除。
如果发现电脑存在下列症状,说明你中招了:
1、 桌面出现“美女视频直播”快捷方式;
2、 访问baidu.com时网址后面自动加上了一个奇怪的字符串;
3、 电脑出现过RUNDLL错误提示框;
4、安卓手机连接电脑后莫名其妙装上haomm等应用,电脑里查出xnfbase.dll、thpro32.dll等文件,或者你所在qq群出现由你分享的*服私**游戏(实际上是木马利用qq漏洞上传的);
5、由于“暗云”木马感染了MBR(磁盘主引导区),即使重装系统,MBR里的恶意代码还会联网*载下**木马病毒进来,电脑中毒症状会再次出现。
做到以下五点:
一、对感染的主机的数据进行备份后,采用专杀工具进行查杀:
http://www.antiy.com/tools.html
http://119.147.83.151/dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer*ex.e**
二、可以通过日志系统对内网计算机对于23.234.51.155、23.234.13.91、23.234.51.35、23.234.51.145、23.234.51.42、23.234.13.64、23.234.51.123、23.234.51.75、23.234.51.25等IP的8877端口的访问进行溯源,确定感染主机。个人用户可访问国家网络安全应急中心网址http://d.cert.org.cn/,查询感染情况。
三、在各种各样的出口设备,限制对23.234.51.155,23.234.13.91、23.234.51.35、23.234.51.145、23.234.51.42、23.234.13.64、23.234.51.123、23.234.51.75、23.234.51.25等IP的访问。
四、不要运行来源不明或被安全软件报警的程序,不要*载下**运行游戏外挂、*服私**登录器等软件。
五、定期在不同的存储介质上备份信息系统业务和个人数据。
另外目前国内360、腾讯等公司正在积极研发能完美解决此问题的软件!
