近期，根据国家互联网应急中心CNCERT、安全厂商等多方面监测报告，一款名为“暗云Ⅲ”的木马程序正在互联网上大量传播，我国境内已有大量用户感染，对我国互联网安全构成一定的威胁。

一、“暗云Ⅲ”木马程序基本情况

综合国内网络安全企业（腾讯公司、Panabit、安天公司）、CNCERT已获知的样本情况和分析，“暗云”木马程序部分变种利用Bootkit技术，将恶意代码驻留在MBR，并采用Rootkit技术，躲避安全防护软件的检测。受害主机每五分钟会连接恶意域名，协议为http端口为8877。

“暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中，具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点，且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新起功能模块，可灵活变换攻击行为。另外分析发现，“暗云”系列木马程序已具备了流量牟利、发动分布式拒绝服务攻击（以下简称“DDoS攻击”）等能力，具有互联网黑产盈利特性。

二、“暗云Ⅲ”木马程序感染情

根据CNCERT对“暗云Ⅲ”木马程序的监测，截止6月12日，累计发现全球感染该木马程序的主机超过162万台，其中我国境内主机占比高达99.9%，广东、河南、山东等省感染主机数量较多。同时，CNCERT对木马程序控制端IP地址进行分析发现，“暗云Ⅲ”木马程序控制端IP地址10个，控制端IP地址均位于境外，且单个IP地址控制境内主机数量规模均超过60万台。

根据监测结果可知，目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络，黑客不仅可以窃取我国百万计网民的个人隐私信息，而且一旦利用该僵尸网络发起DDoS攻击将对我国互联网稳定运行造成严重影响。

三、检测、防范措施建议

根据“暗云”木马程序的传播特性，建议用户近期采取积极的检测和安全防范措施：

1、检查主机网络访问情况，如对23.234.51.155，23.234.13.91、23.234.51.35、23.234.51.145、23.234.51.42、23.234.13.64、23.234.51.123、23.234.51.75、23.234.51.25等ip的8877端口有访问，则可以确定感染主机。

2、对于感染的主机在备份后运行fdisk /mbr 恢复mbr，重新安装正版操作系统并进行系统升级（windows update）。或者使用安全厂商提供的专杀工具进行查杀，比如使用腾讯公司提供的暗云木马专杀工具http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe进行查杀，（有可能出现蓝屏，重启即可）。

3、养成良好的上网习惯，不要选择安装捆绑在下载器中的软件，不要运行来源不明或被安全软件报警的程序，不要下载运行游戏外挂、私服登录器等软件；定期在不同的存储介质上备份信息系统业务和个人数据。

参考链接

“暗黑流量”超大规模DDoS溯源分析：

http://mp.weixin.qq.com/s/MYbSHWHE4qpa0XJ3N6nAzw

“暗云”BootKit木马详细技术分析：

http://www.freebuf.com/vuls/57868.html

暗云ⅡBootKit木马分析：

http://www.freebuf.com/articles/system/109096.html

暗云Ⅲ BootKit 木马分析：

http://tav.qq.com/index/newsDetail/265.html

暗云Ⅲ木马专杀工具：

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe

CNCERT情况通报：

http://www.cert.org.cn/publish/main/9/2017/20170612133251896100394/20170612133251896100394_.html?from=groupmessage&isappinstalled=0

暗云木马的检测记录:

http://d.cert.org.cn/