微软摧毁Nitol僵尸网络

时间: 2018-08-31 00:47:51 作者: 管理员

微软平安研讨员从20台计算机中的一台预装盗版WinXP SP3的笔记本上发现了歹意顺序Nitol,还有3台辨别感染了Trafog、EggDrop和Malat。Nitol能经过可移除贮存媒介和网络共享传达,它的文件名叫LPK.DLL——一切使用顺序都需求载入的DLL文件,因而十分便于传达。微软正告,购置盗版零碎是有风险。

微软平安研讨员从中国不同城市购置了20台计算机,10台笔记本10台台式机。在细心反省之后,他们从一台预装盗版WinXP SP3的笔记本上发现了歹意顺序Nitol,还有3台辨别感染了Trafog、EggDrop和Malat。只要感染Nitol的计算机在不停的尝试衔接一个命令控制效劳器,于是微软对此展开了跟踪研讨,揭开了一个庞大的僵尸网络,这一举动被称爲“Operation b70” (PDF)。

微软发现,Nitol能经过可移除贮存媒介和网络共享传达,它的文件名叫LPK.DLL——一切使用顺序都需求载入的DLL文件,因而十分便于传达。

它有多个变种,变种A次要在中国传播,每个变种都硬编码一个命令控制效劳器域名,感染最集中地域是广东、北京、上海和台北,次要控制命令效劳器都位于中国,85.53%的病毒剖析样本衔接的是中国的效劳器,53.33%的病毒样本衔接3322.org下的子域名以获取控制命令效劳器IP地址。

微软向美国地域法院请求限制令,取得了法院发布暂时限制令,控制了3322.org域名,封闭了 Nitol僵尸网络。微软正告,购置盗版零碎是有风险的。