360暗云3木马专杀工具

暗云iii专杀工具是奇虎360推出的暗云3木马查杀工具，若筒子们怀疑自己中了该病毒，下载扫描查杀就ok啦，快来IT猫扑下载吧！

暗云3木马病毒介绍

“暗云”是一个迄今为止最复杂的木马之一，感染了数以百万的计算机，暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。

其使用了BootKit技术，直接感染磁盘的引导区，感染后即使重装格式化硬盘也无法清除。

国内权威安全评测机构PCSL，针对“暗云”对各大安全厂商做了一次详尽评估，其中奇虎360、腾讯电脑管家和金山毒霸等已可防御。

暗云iii出现方式

如果发现电脑存在下列症状，最好使用杀毒软件查杀暗云木马：

1、桌面出现“美女视频直播”快捷方式；[2] 

2、访问baidu.com时网址后面自动加上了一个奇怪的字符串；

3、电脑出现过RUNDLL错误提示框；

4、安卓手机连接电脑后莫名其妙装上haomm等应用，电脑里查出xnfbase.dll、thpro32.dll等文件，或者你所在qq群出现由你分享的私服游戏（实际上是木马利用qq漏洞上传的）；

5、由于暗云木马感染了MBR（磁盘主引导区），即使重装系统，MBR里的恶意代码还会联网下载木马病毒进来，电脑中毒症状会再次出现。

常驻计算机模块(MBR)行为

电脑开机后，受感染的磁盘MBR第一时间获得CPU的控制权，其功能是将磁盘3-63扇区的木马主体加载到内存中解密执行，木马主体获得执行后通过挂钩int 15中断来获取第二次执行的机会，随后读取第二扇区中的备份MBR正常地引导系统启动。

系统引导启动时会通过int 15中断查询内存信息，此时挂钩15号中断的木马便得以第二次获得CPU控制权，获得控制权后木马挂钩BILoadImageEx函数，调用原始15号中断并将控制权交回给系统继续引导。

当系统引导代码调用BILoadImageEx加载ntoskrnl.exe时，木马便第三次获得控制权，获得控制权后木马再一次执行挂钩操作，此次挂钩的位置是ntoskrnl.exe的入口点，随后将控制权交给系统继续引导。

当引导完毕进入windows内核时，挂钩ntoskrnl入口点的木马代码第四次获得CPU控制权，此时木马已真正进入windows内核中，获得控制权后，分配一块内存空间，将木马内核的主功能代码拷贝到分配的空间中，并通过创建PsSetcreateThreadNotifyRoutine回调的方式使主功能代码得以执行。

至此完成木马由MBR到windows内核的加载过程。

暗云3查杀方法

根据多方发布的信息，暗云Ⅲ的主要特点是增加了“占坑设备名”的技术手段对抗安全软件。

也就是说，暗云Ⅲ会注册使用360急救箱的设备名，意图阻止中毒电脑运行360急救箱。

对此，360安全卫士官方微博公布了一张360急救箱在去年12月更新版本的代码截图，当时已针对暗云Ⅲ破解它的“占坑设备名”，使其无法阻挠360急救箱正常运行。

任何机构都可以使用360急救箱去年12月之后的版本进行测试验证，完全可以彻底清除暗云Ⅲ病毒。

暗云Ⅲ之所以专门对360搞小动作，这是因为360早在2011年九月就研究开发了彻底查杀各种MBR BOOTKIT的专杀技术，此后又申请了国家专利（专利号201310594976），是目前国内唯一可以全面清除鬼影、暗云等系列MBR病毒的安全产品，因此暗云才会把360当作头号“天敌”。

用户只要正常开启360安全卫士，就能实时拦截暗云Ⅲ等木马病毒；

如果有用户关闭安全软件冒险使用带毒外挂而中招，可以通过360安全卫士或直接使用360急救箱进行扫描杀毒，即可彻底查杀清除暗云Ⅲ。

什么是MBR

主引导记录（MBR，Main Boot Record）是位于磁盘最前边的一段引导（Loader）代码。它负责磁盘操作系统(DOS)对磁盘进行读写时分区合法性的判别、分区引导信息的定位，它由磁盘操作系统(DOS)在对硬盘进行初始化时产生的。