2017年6月9日开始，一款名为“暗云Ⅲ”的木马程序正在互联网上大量传播，小心你的电脑成为“肉鸡”。国家互联网应急中心(CNCERT)监测发现，该木马已感染主机超过162万台，其中我国境内主机占比高达99.9%，对我国互联网安全构成一定的威胁。

“暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中，具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点，且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新其功能模块，可灵活变换攻击行为。

一、木马病毒主要表现特征如下

1、主要行为分析

“暗云Ⅲ”病毒通过下载站大规模传播，并通过感染磁盘MBR实现开机启动，主要行为包含收集电脑网卡信息、读取远程服务器文件、自删除、写入自启动注册表、增加自启动、系统配置信息收集、创建网络套接字连接、进行的HTTP数据请求、下载远程文件并执行等行为。

2、主要运行流程

“暗云Ⅲ”病毒运行流程包含创建进程、服务、恶意行为、进程、注册表、释放恶意文件、释放文件、注入等敏感操作。

3、网络反弹行为

对木马程序控制端IP地址进行分析发现，“暗云Ⅲ”木马程序控制端涉及域名和IP信息有：www.9377.com、c2tongji.b5156.com、client.9377.com、tj1.b5156.com、static.9377s.com、cdnsource.9377.com、121.10.141.10、183.131.192.83。

4、HTTP连接行为

“暗云Ⅲ”木马程序在运行过程中会打开指定HTTP链接，具体链接地址如下：

wvw.9377.com/api/client_data_receive.php?Name=9377cycs2&Channel=hyaz2a3&referer_param=b103&Version=1.0.0.2&IP=192.168.56.110&MAC=08-00-27-57-B9-08&Installtime=201

并更新起功能模块5/10/15/1:35:04&ExeName=self

5、释放文件行为

“暗云Ⅲ”木马程序在运行时会释放一系列文件，其中包含各种 inetc.dll、ip.dll、System.dll、pc_game_cy2_tg[1].css、ajax[1].js、jquery.SuperSlide.2.1.1[1].js、weblander.ini、weblander.exe、赤月传说2.lnk等一系列子文件。

6、子文件行为

“暗云Ⅲ”子文件同样具有高危害性，具有打开服务控制管理器、遍历文件、读取远程服务器文件等敏感行为。

总结：“暗云”系列木马程序具备流量牟利、发动分布式拒绝服务攻击(以下简称“DDoS攻击”)等能力，具有互联网黑产盈利特性。根据CNCERT监测结果可知，目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络，黑客不仅可以窃取我国百万计网民的个人隐私信息，而且一旦利用该僵尸网络发起DDoS攻击将对学校及互联网网络稳定运行造成严重影响。

二、安全防范措施

1、不要选择安装捆绑在下载器中的软件，不要运行来源不明或被安全软件报警的程序，不要下载运行游戏外挂、私服登录器等软件。

2、定期在不同的存储介质上备份信息系统业务和个人数据。

3、下载、升级360安全卫士和腾讯电脑管家等杀毒软件，及时打上操作系统最新补丁，对被感染主机及时采取有效措施进行控制，遏制攻击源的传播和和感染。

4、“暗云”木马暂只能感染Windows桌面系统，请您在Windows电脑浏览器中打开此页面进行查询，由于学校网络出口采用地址池IP会经常变化，会导致查询结果不准确，仅供参考。查询地址：http://d.cert.org.cn。

5、我校宿舍区有线和无线网络已经有下列出口IP地址出现了感染木马病毒，111.22.15.242,111.22.15.244,111.22.15.254,111.23.46.208,218.77.116.163,218.77.116.164,218.77.116.166 111.22.15.231。如通过查询发现自己属于上述地址范围，为了防止病毒扩散和造成个人损失，请及时安装、升级杀毒软件并全盘杀毒，信息中心将通过技术手段来排查中病毒的用户。

信息中心

2017年6月14日