<dl id="ofva3"></dl>
<delect id="ofva3"><menu id="ofva3"></menu></delect><em id="ofva3"></em>
<dl id="ofva3"></dl>

<sup id="ofva3"></sup>
<dl id="ofva3"><ins id="ofva3"></ins></dl>

    <dl id="ofva3"><menu id="ofva3"><form id="ofva3"></form></menu></dl>

    <em id="ofva3"></em>

      <em id="ofva3"><ol id="ofva3"></ol></em>

      Nitol僵尸网络拓展新业务:疯狂点击广告刷量

      2019-03-08 来源:原创 作者:腾讯电脑管家
      【文章摘要】Nitol是一个相对古老的僵尸网络,之前腾讯御见威胁情报中?#33041;?#29190;出Nitol新增挖矿业务,近期又监测到Nitol又开新业务“广告刷量?#20445;?#36890;过后台模拟人工点击广告链接来牟利。病毒刷量的操作频率可用疯狂来形容:每15秒点击一个广告资源,每个广告资源会点击上万次,为避免被用户发现,病毒还会在刷量前屏蔽音频播放功能。

      一、简介

      Nitol是一个相对古老的僵尸网络,之前腾讯御见威胁情报中?#33041;?#29190;出Nitol新增挖矿业务,近期又监测到Nitol又开新业务“广告刷量?#20445;?#36890;过后台模拟人工点击广告链接来牟利。病毒刷量的操作频率可用疯狂来形容:每15秒点击一个广告资源,每个广告资源会点击上万次,为避免被用户发现,病毒还会在刷量前屏蔽音频播放功能。

      Nitol僵尸病毒使用lpk.dll劫持技术(众多正常程序会调用lpk.dll运行,病毒创建一个lpk.dll,就可以得到加载机会),这种攻击手法十分古老,但在低版本操作系统(WIN2003WinXP)中仍然凑效。

      病毒通过U盘、移动硬盘、?#38236;?#30913;盘的部分文件夹下复制带毒lpk.dll,将带毒lpk.dll打包进压缩文件等方式进行扩散传播,腾讯御见威胁情报中心监测数据表明,每天?#21152;?#25968;万用户感染Nitol僵尸网络。

      Nitol僵尸网络活动趋势

      从被感染用户分布图可知,广东、河北、浙江为Nitol僵尸网络重度受害地区。

      Nitol僵尸网络地区感染情况

      二、详细分析

      该变种Nitol藏在众多游戏辅助工具、刷机工具、盗版激活工具、常用软件驱动程序及其他一些常用工具软件安装包里,通过软件下载站到达用户电脑,被人为感染Nitol病毒的软件多达上万款,部分被感染的压缩包名如下:

      植入Nitol病毒的软件清单(部分)

      该版本Nitol协议值未发生变化,C2连?#21448;?span>imddos.my03.com:6688,使用0x10指令下载执行样本。


      刷量模块被放置在Temp目录,启动后从图床下载ewe.jpg


      Ewe.dll属于开源的跨平台的浏览器引擎Webkit核心模块,有比较完整的网页解析功能。为了减少对当前桌面的影响,减少被发现的概率,主线程中会另起一个虚拟桌面,后续所有的操作都会在新的虚拟桌面中进行,桌面名称“SLDesk”。


      ?#24613;?#35831;求任务列表,根据任务列表及指令,执行具体刷量动作,请求广告域名为it885.com.cn。


      每次返回的任务列表多达几千条,每条广告间隔15秒会被刷一次,而且每条广告都可能被刷上几万次。


      执行刷量前上报任务日志


      目前该木马支持多种方式刷量:

      1、点击页面的flash广告


      2、点击http超链接,根据返回的内容跳转到指定页面


      并根据指令,模拟点击超链接


      返回的广告类型包括游戏、汽车、婚恋、?#29279;?#31867;广告,覆盖面十分广泛。

      3、直接访问一次URL,完成一次刷量;在x64系统下,病毒会释放内置的PE文件picie.dat,传入URL参数


      而在x86系统下病毒会启动自身,并把picie.dat注入到子进程中


      为了避免在刷量时产生的广告声音被发现异常,木马每次刷量前都会禁用系统的声音


      通过替换注册表Drivers32下的值来控制音频



      三、安全建议

      对于此类病毒从源头传播到横向传播,电脑管家均可以进行有效的防御和查杀,建议广大网友保持良好的上网习惯,保持电脑管家的正常开启,不要因为使用外挂、游戏辅助工具、盗版激活工具等容易传播病毒的软件。



      IOCs

      Domain

      imddos.my03.com:6688

      URL

      hxxp://www.it885.com.cn/web/get_ad3_1.asp?type=loadall

      hxxp://imddos.my03.com:6688/511135395.html


      MD5

      fb23c36dcb0ceef4bc9cae5a9f7c92d4

      9d518882e451d2c343f6b17e0ef5fd0d

      7147ff24579a477a1a34696926e573f1

      302f8fc20e175c7769ea8976a30dd436

      1e7f93991ba4a17604397132a1f8f039

      e90d8273d9f418adc5c2cb4e1e995559

      abcf2790d65f476c05f343e94667f6bb

      b249029deb84ecfac38160ef16601c0b

      6bb80598848683ad11d8aee970f641eb

      3573c5322bc1336bbbc65856485d1da8

      a0ead738be12651816b2d02ff16591ae

      1b318ab041e655f4f472bed606dab292


      参考链接:

      小心Nitol僵尸网络家族变种!

      http://www.0537525.com/news/n3/2180.html

      电脑管家V13

      权限雷达全新升级

      详情>>

      版本更新:2018.11.12

      say福建十一选五
      <dl id="ofva3"></dl>
      <delect id="ofva3"><menu id="ofva3"></menu></delect><em id="ofva3"></em>
      <dl id="ofva3"></dl>

      <sup id="ofva3"></sup>
      <dl id="ofva3"><ins id="ofva3"></ins></dl>

        <dl id="ofva3"><menu id="ofva3"><form id="ofva3"></form></menu></dl>

        <em id="ofva3"></em>

          <em id="ofva3"><ol id="ofva3"></ol></em>
          <dl id="ofva3"></dl>
          <delect id="ofva3"><menu id="ofva3"></menu></delect><em id="ofva3"></em>
          <dl id="ofva3"></dl>

          <sup id="ofva3"></sup>
          <dl id="ofva3"><ins id="ofva3"></ins></dl>

            <dl id="ofva3"><menu id="ofva3"><form id="ofva3"></form></menu></dl>

            <em id="ofva3"></em>

              <em id="ofva3"><ol id="ofva3"></ol></em>