CERNET黑龙江用户网络空间安全工作组根据Panabit提供的威胁情报，监测到目前互联网有大量的机器感染暗云botnet，通过Panabit，腾讯云鼎实验室，安天等合作伙伴的分析发现，该僵尸网络的部分变种利用Bootkit技术，将恶意代码驻留在硬盘MBR，并采用Rootkit技术，躲避安全防护软件的检测。

暗云是一个迄今为止最复杂的木马之一，全网普查显示，感染了数以百万的计算机，暗云木马使用了很多复杂的、新颖的技术来实现长期地潜伏在用户的计算机系统中。

据监测，目前攻击呈现出三个阶段：

1.5月26日19点全国大量真实IP地址开始攻击地址183.60.111.150，一直持续到至28日凌晨3点结束；

2.5月28日早晨7点左右开始攻击地址59. 153. 75. 7；

3.6月9日攻击呈现多样化。

5月28日网络中心对我校检测发现部分校园网用户和在家使用VPN的教师用户有感染迹象，由于该木马隐蔽性强并随时可能衍生变种，建议用户加强防范。

目前，主流防病毒软件对于此木马无法查杀，校园网用户须数据进行备份，采用腾讯的专杀工具http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/anyun3_killer.exe进行查杀，（有可能出现蓝屏，重启即可），或者在备份后运行fdisk /mbr 恢复mbr，有条件的用户建议使用GPT分区，重新安装正版操作系统，并进行系统升级（windows update）。

网络与教育技术中心

2017年6月12日