國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）提示，臭名昭著的的暗云Ⅲ病毒再次卷土重來，可將受害主機變成傀儡，我過已有百萬主機感染。

“暗云Ⅲ”木馬程序基本情況
    綜合CNCERT和國內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，“暗云”系列木馬程序通過一系列復(fù)雜技術(shù)潛伏于用戶電腦中，具有隱蔽性較高、軟硬件全面兼容、傳播性較強、難以清除等特點，且最新的變種“暗云Ⅲ”木馬程序可在每次用戶開機時從云端服務(wù)器下載并更新起功能模塊，可靈活變換攻擊行為。另外分析發(fā)現(xiàn)，“暗云”系列木馬程序已具備了流量牟利、發(fā)動分布式拒絕服務(wù)攻擊（以下簡稱“DDoS攻擊”）等能力，具有互聯(lián)網(wǎng)黑產(chǎn)盈利特性。

攻擊過程
1） 暗云Ⅲ木馬的惡意程序偽裝成各種補丁等進行補丁修復(fù)，并且通過各大下載站的下載器進行海量推廣
2） 暗云病毒感染后，會立刻感染硬盤MBR(主引導(dǎo)記錄) 
3） 過聯(lián)網(wǎng)下載攻擊指令，再將攻擊代碼在內(nèi)存中運行，并不在本地硬盤上生成文件完成破壞或攻擊

主要特點
1）硬盤MBR(主引導(dǎo)記錄)——是電腦開機時最早加載的程序位置，此時Windows尚未被加載，更不用說依賴Windows的殺毒軟件了，所以當電腦完成正常開機過程后，病毒已在內(nèi)存運行多時
2）就算用戶將電腦硬盤格式化重裝，因為暗云病毒存在于硬盤MBR，僅僅格式化硬盤不會對病毒造成任何影響。
3）本地找不到完成攻擊的文件，指令只在內(nèi)存中，每次用戶開機時從云端服務(wù)器下載并更新起功能模塊，可靈活變換攻擊行為。

危害
1）竊取用戶電腦上任何控制者感興趣的資料，如文檔資料、郵箱、IP地址、存儲的錄像等
2）淪為黑客的控制下的“僵尸電腦”，向云服務(wù)提供商發(fā)起DDoS攻擊
3）大范圍的DDos攻擊有可能引發(fā)大范圍業(yè)務(wù)中斷，如眾所周知的美國大范圍斷網(wǎng)就是由于DNS服務(wù)商Dyn遭遇了大規(guī)模DDoS攻擊所致。

波及范圍
    截止6月12日，累計發(fā)現(xiàn)全球感染該木馬程序的主機超過162萬臺，其中我國境內(nèi)主機占比高達99.9%，廣東、河南、山東等省感染主機數(shù)量較多。國家互聯(lián)網(wǎng)應(yīng)急中心對木馬程序控制端IP地址進行分析發(fā)現(xiàn)，控制端IP地址均位于境外，且單個IP地址控制境內(nèi)主機數(shù)量規(guī)模均超過60萬臺。
    根據(jù)監(jiān)測結(jié)果可知，目前“暗云Ⅲ”木馬程序控制的主機已經(jīng)組成了一個超大規(guī)模的跨境僵尸網(wǎng)絡(luò)，黑客不僅可以竊取我國百萬計網(wǎng)民的個人隱私信息，而且一旦利用該僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊。業(yè)內(nèi)人士監(jiān)控到大量感染暗云Ⅲ木馬的“肉雞”，正在攻擊搭建在某云服務(wù)商上的棋牌類網(wǎng)站，導(dǎo)致該網(wǎng)站訪問變得異常卡慢。

預(yù)防辦法
1、不要選擇安裝捆綁在下載器中的軟件，不要運行來源不明或被安全軟件報警的程序
2、定期在不同的存儲介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個人數(shù)據(jù)。
3、下載騰訊、360、安天等廠商發(fā)布的騰訊電腦管家、360系統(tǒng)急救箱、安天智甲等工具進行“暗云”木馬程序檢測和查殺；