國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）提示，臭名昭著的的暗云Ⅲ病毒再次卷土重來(lái)，可將受害主機(jī)變成傀儡，我過已有百萬(wàn)主機(jī)感染。

“暗云Ⅲ”木馬程序基本情況
    綜合CNCERT和國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，“暗云”系列木馬程序通過一系列復(fù)雜技術(shù)潛伏于用戶電腦中，具有隱蔽性較高、軟硬件全面兼容、傳播性較強(qiáng)、難以清除等特點(diǎn)，且最新的變種“暗云Ⅲ”木馬程序可在每次用戶開機(jī)時(shí)從云端服務(wù)器下載并更新起功能模塊，可靈活變換攻擊行為。另外分析發(fā)現(xiàn)，“暗云”系列木馬程序已具備了流量牟利、發(fā)動(dòng)分布式拒絕服務(wù)攻擊（以下簡(jiǎn)稱“DDoS攻擊”）等能力，具有互聯(lián)網(wǎng)黑產(chǎn)盈利特性。

攻擊過程
1） 暗云Ⅲ木馬的惡意程序偽裝成各種補(bǔ)丁等進(jìn)行補(bǔ)丁修復(fù)，并且通過各大下載站的下載器進(jìn)行海量推廣
2） 暗云病毒感染后，會(huì)立刻感染硬盤MBR(主引導(dǎo)記錄) 
3） 過聯(lián)網(wǎng)下載攻擊指令，再將攻擊代碼在內(nèi)存中運(yùn)行，并不在本地硬盤上生成文件完成破壞或攻擊

主要特點(diǎn)
1）硬盤MBR(主引導(dǎo)記錄)——是電腦開機(jī)時(shí)最早加載的程序位置，此時(shí)Windows尚未被加載，更不用說(shuō)依賴Windows的殺毒軟件了，所以當(dāng)電腦完成正常開機(jī)過程后，病毒已在內(nèi)存運(yùn)行多時(shí)
2）就算用戶將電腦硬盤格式化重裝，因?yàn)榘翟撇《敬嬖谟谟脖PMBR，僅僅格式化硬盤不會(huì)對(duì)病毒造成任何影響。
3）本地找不到完成攻擊的文件，指令只在內(nèi)存中，每次用戶開機(jī)時(shí)從云端服務(wù)器下載并更新起功能模塊，可靈活變換攻擊行為。

危害
1）竊取用戶電腦上任何控制者感興趣的資料，如文檔資料、郵箱、IP地址、存儲(chǔ)的錄像等
2）淪為黑客的控制下的“僵尸電腦”，向云服務(wù)提供商發(fā)起DDoS攻擊
3）大范圍的DDos攻擊有可能引發(fā)大范圍業(yè)務(wù)中斷，如眾所周知的美國(guó)大范圍斷網(wǎng)就是由于DNS服務(wù)商Dyn遭遇了大規(guī)模DDoS攻擊所致。

波及范圍
    截止6月12日，累計(jì)發(fā)現(xiàn)全球感染該木馬程序的主機(jī)超過162萬(wàn)臺(tái)，其中我國(guó)境內(nèi)主機(jī)占比高達(dá)99.9%，廣東、河南、山東等省感染主機(jī)數(shù)量較多。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心對(duì)木馬程序控制端IP地址進(jìn)行分析發(fā)現(xiàn)，控制端IP地址均位于境外，且單個(gè)IP地址控制境內(nèi)主機(jī)數(shù)量規(guī)模均超過60萬(wàn)臺(tái)。
    根據(jù)監(jiān)測(cè)結(jié)果可知，目前“暗云Ⅲ”木馬程序控制的主機(jī)已經(jīng)組成了一個(gè)超大規(guī)模的跨境僵尸網(wǎng)絡(luò)，黑客不僅可以竊取我國(guó)百萬(wàn)計(jì)網(wǎng)民的個(gè)人隱私信息，而且一旦利用該僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊。業(yè)內(nèi)人士監(jiān)控到大量感染暗云Ⅲ木馬的“肉雞”，正在攻擊搭建在某云服務(wù)商上的棋牌類網(wǎng)站，導(dǎo)致該網(wǎng)站訪問變得異?？?

預(yù)防辦法
1、不要選擇安裝捆綁在下載器中的軟件，不要運(yùn)行來(lái)源不明或被安全軟件報(bào)警的程序
2、定期在不同的存儲(chǔ)介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)。
3、下載騰訊、360、安天等廠商發(fā)布的騰訊電腦管家、360系統(tǒng)急救箱、安天智甲等工具進(jìn)行“暗云”木馬程序檢測(cè)和查殺；