僵尸网络Nitol分析报告

经过安天追影DDoS僵尸网络监控小组发现,互联网的DDoS攻击有很大一部分攻击者所使用的僵尸网络是Windows系列的“肉鸡”群,而活跃在Windows环境下的DDoS家族尤其繁多,但是比较具有代表性的DDoS家族是病毒名为Trojan[DDoS]/Win32.Nitol的病毒家族。

分析介绍:

Nitol家族的是暴风DDoS家族、鬼影DDoS家族的统称,其功能代码是从网上的同一套源码改造而成,某杀软将其统称为Nitol家族,该家族并没有像常见的DDoS僵尸网络家族那么活跃,Nitol家族有以下2个特点:
1:Nitol家族兼有DDoS 僵尸网络和RAT恶意程序特色
Nitol家族,首先主要是具有DDoS 僵尸网络的DDoS攻击的功能特点。Nitol家族主要实现syn flood、udp flood、http flood、icmp flood、tcp flood、cc flood、dns flood等7种DDoS攻击类型;同时还初步具备RAT 恶意程序的远程cmd、文件更新下载窗口弹出等功能。通过长期的监控和统计分析得知,Nitol家族的幕后操纵者,经常通过远程文件更新下载指令,将部署在HTTP File Server服务器上的各种病毒木马进行远程植入,实现同一台设备被植入多种类型木马,严重危害设备安全。
2:Nitol家族不易被清除
Nitol家族为了长期保持对“肉鸡”的控制权限,研发者使用了lpk.dll劫持技术,lpk.dll劫持技术是目前病毒较常用的一种方法,而正常系统本身也会存在lpk.dll文件,这足以说明这类病毒的危险性。系统本身的lpk.dll文件位于C:\WINDOWS\system32和C:WINDOWS\system\dllcache目录下。lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll就会被Windows动态链接,从而激活病毒,进而导致不能彻底清除。

总结:

经过安天追影团队的长期监控与跟踪,Nitol家族每天都在进行非法的DDoS攻击以获取更多的非法利益,已经威胁到互联网安全,损坏广大用户的利益。此外,安天追影团队提醒广大网络用户,要提高自身的安全意识,对于来源不明的邮件,不要轻易点击或者复制邮件中的网址,更不要轻易下载附件,以防止钓鱼邮件中的恶意代码的感染。

MD5:

1242cabae9718d87032d5061f720bbf9

参考链接:

http://www.searchsecurity.com.cn/showcontent_66147.htm