暗云的木马病毒有哪些特点
暗云的木马病毒有以下特点:
隐蔽性非常高:通过Hook磁盘驱动实现对已感染的MBR进行保护,防止被安全软件检测和清除,并且使用对象劫持技术躲避安全人员的手工检测。隐蔽性极高,截至目前为止,几乎所有的安全软件都无法检测和查杀该木马。
云思想在暗云木马中的使用:木马以轻量级的身躯隐藏于磁盘最前端的30个扇区中,这些常驻与系统中代码并没有传统木马的功能,这些代码的功能仅仅是到执行的服务器(云端)下载其他功能代码到内存中直接执行,这些功能模块每次开机都由隐藏的模块从云端下载。因此木马体积小巧,且云端控制性强。
Ring3与Ring0的通信方式:微软正统的通信方式是Ring 0代码创建驱动设备,Ring 3代码通过打开Ring 0创建的设备开实现相互之间的通信。常见的木马使用的通信方式则是在Ring 0对指定的API函数进行Hook,而暗云木马是通过注册回调的方式来实现。
操作系统全量兼容:一份BootKit同时兼容x86、x64两种版本的操作系统,且能够兼容win7、win10等当前主流的操作系统版本,因此影响范围十分广泛。在推广获利方面,该木马也是涵盖当前主流的推广获利渠道——推广小网站、推广手机应用、推广游戏、大网站加推广ID。
有效对抗杀软:有于木马的主体在内核中运行,且启动时间比所有的安全软件都早,因此大部分的安全软件无法拦截和检测该木马的恶意行为。木马能够在内核中直接结束部分安全软件进程,同时可以向任意安全软件进程插入APC执行。插入的APC代码不稳定,且会关闭安全软件的设备句柄,会导致安全软件崩溃或退出,大大减少了被检测的机率。
防范木马入侵的措施有以下这些:
不要执行任何来历不明的软件:对于从网上下载的软件在安装、使用前一定要用多几种反病毒软件,最好是专门查杀木马的软件进行检查,确定无毒了再执行、使用。
不要认为邮箱不会收到垃圾和带毒的邮件:千万不要认为私人邮箱就不会收到垃圾和带毒的邮件,即使从没露过面的邮箱或是ISP邮箱也是有风险的,有些时候你永远没办法知道别人如何得知你的mail地址的。
不要随便留下个人资料:特别不要在聊天室内公开你的Email地址,更不要将重要口令和资料存放在上网的主机里,以防黑客侵入主机盗走一切个人信息。
不要随便下载软件:不要再不可靠的小FTP站点、公众新闻级、论坛或BBS上下载软件,因为这些地方正是新病毒发布的首选之地。
不要轻易打开广告邮件中附件或点击其中的链接:因为广告邮件也是那些黑客程序依附的重要对象,特别是其中的一些链接,只要一点开,木马病毒就会立马入侵。
将windows资源管理器配置成始终显示扩展名:因为一些扩展名为:VBS、SHS、PIF的文件多为木马病毒的特征文件,更有些文件为又扩展名,更应重点查看,一经发现要立即删除,千万不要打开,只有实时显示了文件的全名才能及时发现。
尽量少用共享文件夹:如果因工作等其它原因必需设置成共享,则最好单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要系统目录设置成共享,不然这样被入侵的风险非常高
给电子邮件加密:为了确保邮件不被其它人看到,同时也为了防止黑客们的攻击,可使用一些邮件加密软件,提高安全性。
运行反木马实时监控程序:还有最重要的一点,就是在上网时必需运行反木马实时监控程序,可即时显示当前所有运行程序并有详细的描述信息,还可以外加一些专业的最新杀毒软件、个人防火墙进行监。