服务电话

网络报修电话:

  • 84617234(校园网)
  • 88706295(联通)
  • 83870087(移动)
  • 84618112(电信)
  • 82772222(国安)

卡务服务大厅:

  • 84635298

校园网自助服务

    账号:

    密码:

    验证: 

关于加强防范“暗云Ⅲ”木马病毒的紧急通知

时间:2017/06/16 15:12:00  来源:   作者:   点击:

各校园网用户: 

  201769日开始,一款名为“暗云Ⅲ”的木马程序正在互联网上大量传播,小心你的电脑成为“肉鸡”。国家互联网应急中心(CNCERT)监测发现,该木马已感染主机超过162万台,其中我国境内主机占比高达99.9%,对我国互联网安全构成一定的威胁。 

  “暗云”系列木马程序通过一系列复杂技术潜伏于用户电脑中,具有隐蔽性较高、软硬件全面兼容、传播性较强、难以清除等特点,且最新的变种“暗云Ⅲ”木马程序可在每次用户开机时从云端服务器下载并更新其功能模块,可灵活变换攻击行为。 

  一、木马病毒主要表现特征如下 

  1、主要行为分析 

  “暗云Ⅲ”病毒通过下载站大规模传播,并通过感染磁盘MBR实现开机启动,主要行为包含收集电脑网卡信息、读取远程服务器文件、自删除、写入自启动注册表、增加自启动、系统配置信息收集、创建网络套接字连接、进行的HTTP数据请求、下载远程文件并执行等行为。 

  2、主要运行流程 

  “暗云Ⅲ”病毒运行流程包含创建进程、服务、恶意行为、进程、注册表、释放恶意文件、释放文件、注入等敏感操作。 

  3、网络反弹行为 

  对木马程序控制端IP地址进行分析发现,“暗云Ⅲ”木马程序控制端涉及域名和IP信息有:wvw.9377.comc2tongji.b5156.comclient.9377.comtj1.b5156.comstatic.9377s.comcdnsource.9377.com121.10.141.10183.131.192.83 

  4HTTP连接行为 

“暗云Ⅲ”木马程序在运行过程中会打开指定HTTP链接,具体链接地址如下: 

wvw.9377.com/api/client_data_receive.php?Name=9377cycs2&Channel=hyaz2a3&referer_param=b103&Version=1.0.0.2&IP=192.168.56.110&MAC=08-00-27-57-B9-08&Installtime=201 

  并更新起功能模块5/10/15/1:35:04&ExeName=self 

  5、释放文件行为 

  “暗云Ⅲ”木马程序在运行时会释放一系列文件,其中包含各种inetc.dllip.dllSystem.dllpc_game_cy2_tg[1].cssajax[1].jsjquery.SuperSlide.2.1.1[1].jsweblander.iniweblander.exe、赤月传说2.lnk等一系列子文件。 

  6、子文件行为 

  “暗云Ⅲ”子文件同样具有高危害性,具有打开服务控制管理器、遍历文件、读取远程服务器文件等敏感行为。 

  总结:“暗云”系列木马程序具备流量牟利、发动分布式拒绝服务攻击(以下简称“DDoS攻击”)等能力,具有互联网黑产盈利特性。根据CNCERT监测结果可知,目前“暗云Ⅲ”木马程序控制的主机已经组成了一个超大规模的跨境僵尸网络,黑客不仅可以窃取我国百万计网民的个人隐私信息,而且一旦利用该僵尸网络发起DDoS攻击将对学校及互联网网络稳定运行造成严重影响。 

  二、安全防范措施 

  1、不要选择安装捆绑在下载器中的软件,不要运行来源不明或被安全软件报警的程序,不要下载运行游戏外挂、私服登录器等软件。 

  2、定期在不同的存储介质上备份信息系统业务和个人数据。 

3、下载、升级360安全卫士或腾讯电脑管家等杀毒软件,及时打上操作系统最新补丁,对被感染主机及时采取有效措施进行控制,遏制攻击源的传播和和感染。 

  4、“暗云”木马暂只能感染Windows桌面系统,请您在Windows电脑浏览器中打开此页面进行查询,由于学校网络出口采用地址池IP会经常变化,会导致查询结果不准确,仅供参考。查询地址:http://d.cert.org.cn 

5、我校已发现有部分电脑感染该木马病毒,为了防止病毒扩散和造成个人损失,请及时安装、升级杀毒软件并全盘杀毒,信息中心将通过技术手段来排查中病毒的用户。

值班电话:84617234

 

                                                                                                    信息化建设与管理中心

                                            

                                                                                                       2017616

点击下载文件: