暗云4盯上弱口令 暗潮涌动

暗云4是一个作案已久的木马病毒，近日我们又一次监测到此病毒活动频繁，且此次此木马主要在服务器系统传播。不仅如此，我们接到用户反馈，称他们发现电脑出现异常后尝试了各种方法试图抢救，最后甚至重装了系统，但还是没能摆脱此病毒的围追堵截。针对此病毒，我们进行了详细的分析，破解了此木马的活动行为，目前，360安全卫士已经率先拦截查杀该木马。

通过详细分析，我们发现此木马主要是通过MySQL MSSQL弱口令入侵用户服务器后传播，且此病毒极有可能在日后转型为勒索病毒，对此360安全团队提醒大家，若目前正在使用弱口令请尽快修改口令，以免中招。

木马行为分析

入侵服务器释放文件到

C:\Windows\Temp\v.exe

木马文件信息为:

写入函数:

获取活动分区对应的磁盘序号:

判断MBR分区:

是否已经写入:

备份成功后写入:

开机后，这次去掉了DPC保护,其余代码跟之前一样，比如对急救箱工具的对抗:

重启后设备信息:

开启线程循环检测以下进程，然后直接结束进程:

最后通过插入APC向Winlogon.exe进程注入代码，网上下载恶意代码挖矿:

目前360安全卫士已经率先支持拦截查杀：

防御总结

当发现开机卡慢，服务器运行不正常等异常问题时，请尽快使用急救箱改名运行进行查杀，如果这些服务设置了弱口令，需要尽快修改，对于无需使用的服务不要随意开放，开放的服务是黑客入侵的前提。对于必须使用的服务，注意相关服务的弱口令问题。

下载地址:

http://down.360safe.com/inst.exe