警惕，暗网并未走远

国家互联网应急中心（CNCERT）提示，臭名昭著的的暗云Ⅲ病毒再次卷土重来，可将受害主机变成傀儡，我过已有百万主机感染。

“暗云Ⅲ”木马程序基本情况
    综合CNCERT和国内网络安全企业已获知的样本情况和分析结果，“暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中，具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点，且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新起功能模块，可灵活变换攻击行为。另外分析发现，“暗云”系列木马程序已具备了流量牟利、发动分布式拒绝服务攻击（以下简称“DDoS攻击”）等能力，具有互联网黑产盈利特性。

攻击过程
1） 暗云Ⅲ木马的恶意程序伪装成各种补丁等进行补丁修复，并且通过各大下载站的下载器进行海量推广
2） 暗云病毒感染后，会立刻感染硬盘MBR(主引导记录) 
3） 过联网下载攻击指令，再将攻击代码在内存中运行，并不在本地硬盘上生成文件完成破坏或攻击

主要特点
1）硬盘MBR(主引导记录)——是电脑开机时最早加载的程序位置，此时Windows尚未被加载，更不用说依赖Windows的杀毒软件了，所以当电脑完成正常开机过程后，病毒已在内存运行多时
2）就算用户将电脑硬盘格式化重装，因为暗云病毒存在于硬盘MBR，仅仅格式化硬盘不会对病毒造成任何影响。
3）本地找不到完成攻击的文件，指令只在内存中，每次用户开机时从云端服务器下载并更新起功能模块，可灵活变换攻击行为。

危害
1）窃取用户电脑上任何控制者感兴趣的资料，如文档资料、邮箱、IP地址、存储的录像等
2）沦为黑客的控制下的“僵尸电脑”，向云服务提供商发起DDoS攻击
3）大范围的DDos攻击有可能引发大范围业务中断，如众所周知的美国大范围断网就是由于DNS服务商Dyn遭遇了大规模DDoS攻击所致。

波及范围
    截止6月12日，累计发现全球感染该木马程序的主机超过162万台，其中我国境内主机占比高达99.9%，广东、河南、山东等省感染主机数量较多。国家互联网应急中心对木马程序控制端IP地址进行分析发现，控制端IP地址均位于境外，且单个IP地址控制境内主机数量规模均超过60万台。
    根据监测结果可知，目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络，黑客不仅可以窃取我国百万计网民的个人隐私信息，而且一旦利用该僵尸网络发起DDoS攻击。业内人士监控到大量感染暗云Ⅲ木马的“肉鸡”，正在攻击搭建在某云服务商上的棋牌类网站，导致该网站访问变得异常卡慢。

预防办法
1、不要选择安装捆绑在下载器中的软件，不要运行来源不明或被安全软件报警的程序
2、定期在不同的存储介质上备份信息系统业务和个人数据。
3、下载腾讯、360、安天等厂商发布的腾讯电脑管家、360系统急救箱、安天智甲等工具进行“暗云”木马程序检测和查杀；