当前位置:首页通知公告
关于做好“暗云Ⅲ”木马病毒防范的紧急通知
2017-06-15 来源: 编辑: 0次浏览

各校园网用户: 

  201769开始,一款名为暗云Ⅲ”的木马程序正在互联网上大量传播,小心你的电脑成为肉鸡。国家互联网应急中心(CNCERT)监测发现,该木马已感染主机超过162万台,其中我国境内主机占比高达99.9%,对我国互联网安全构成一定的威胁。 

  暗云系列木马程序通过一系列复杂技术潜伏于用户电脑中,具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点,且最新的变种暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新其功能模块,可灵活变换攻击行为。 

  一、木马病毒主要表现特征如下 

  1、主要行为分析 

  暗云Ⅲ”病毒通过下载站大规模传播,并通过感染磁盘MBR实现开机启动,主要行为包含收集电脑网卡信息、读取远程服务器文件、自删除、写入自启动注册表、增加自启动、系统配置信息收集、创建网络套接字连接、进行的HTTP数据请求、下载远程文件并执行等行为。 

  2、主要运行流程 

  暗云Ⅲ”病毒运行流程包含创建进程、服务、恶意行为、进程、注册表、释放恶意文件、释放文件、注入等敏感操作。 

  3、网络反弹行为 

  对木马程序控制端IP地址进行分析发现,暗云Ⅲ”木马程序控制端涉及域名和IP信息有:wvw.9377.comc2tongji.b5156.comclient.9377.comtj1.b5156.comstatic.9377s.comcdnsource.9377.com121.10.141.10183.131.192.83 

  4、HTTP连接行为 

  暗云Ⅲ”木马程序在运行过程中会打开指定HTTP链接,具体链接地址如下: 

  wvw.9377.com/api/client_data_receive.php?Name=9377cycs2&Channel=hyaz2a3&referer_param=b103&Version=1.0.0.2&IP=192.168.56.110&MAC=08-00-27-57-B9-08&Installtime=201 

  并更新起功能模块5/10/15/1:35:04&ExeName=self 

  5、释放文件行为 

  暗云Ⅲ”木马程序在运行时会释放一系列文件,其中包含各种 inetc.dllip.dllSystem.dllpc_game_cy2_tg[1].cssajax[1].jsjquery.SuperSlide.2.1.1[1].jsweblander.iniweblander.exe、赤月传说2.lnk等一系列子文件。 

  6、子文件行为 

  暗云Ⅲ”子文件同样具有高危害性,具有打开服务控制管理器、遍历文件、读取远程服务器文件等敏感行为。 

  总结:暗云系列木马程序具备流量牟利、发动分布式拒绝服务攻击(以下简称DDoS攻击)等能力,具有互联网黑产盈利特性。根据CNCERT监测结果可知,目前暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络,黑客不仅可以窃取我国百万计网民的个人隐私信息,而且一旦利用该僵尸网络发起DDoS攻击将对学校及互联网网络稳定运行造成严重影响。 

  二、安全防范措施 

  1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。 

  2、定期在不同的存储介质上备份信息系统业务和个人数据。 

  3、下载、升级360安全卫士和腾讯电脑管家等杀毒软件,及时打上操作系统最新补丁,对被感染主机及时采取有效措施进行控制,遏制攻击源的传播和和感染。 

  4、“暗云”木马暂只能感染Windows桌面系统,请您在Windows电脑浏览器中打开此页面进行查询,由于学校网络出口采用地址池IP会经常变化,会导致查询结果不准确,仅供参考。查询地址:http://d.cert.org.cn 

  5、我校宿舍区有线和无线网络已经有下列出口IP地址出现了感染木马病毒,111.22.15.242,111.22.15.244,111.22.15.254,111.23.46.208,218.77.116.163,218.77.116.164,218.77.116.166    111.22.15.231。如通过查询发现自己属于上述地址范围,为了防止病毒扩散和造成个人损失,请及时安装、升级杀毒软件并全盘杀毒,信息中心将通过技术手段来排查中病毒的用户。 

    

  中南林业科技大学 

  2017614 

 

分享到:
中南林业科技大学 湖南省长沙市韶山南路498号 电话:0731-85623096
湘ICP备09017705号 湘教QS4_201212_010022 网络中心技术支持