Nitol僵尸网络拓展新业务:疯狂点击广告刷量

2019-03-08 来源:原创 作者:腾讯电脑管家
【文章摘要】Nitol是一个相对古老的僵尸网络,之前腾讯御见威胁情报中心曾爆出Nitol新增挖矿业务,近期又监测到Nitol又开新业务“广告刷量”,通过后台模拟人工点击广告链接来牟利。病毒刷量的操作频率可用疯狂来形容:每15秒点击一个广告资源,每个广告资源会点击上万次,为避免被用户发现,病毒还会在刷量前屏蔽音频播放功能。

一、简介

Nitol是一个相对古老的僵尸网络,之前腾讯御见威胁情报中心曾爆出Nitol新增挖矿业务,近期又监测到Nitol又开新业务“广告刷量”,通过后台模拟人工点击广告链接来牟利。病毒刷量的操作频率可用疯狂来形容:每15秒点击一个广告资源,每个广告资源会点击上万次,为避免被用户发现,病毒还会在刷量前屏蔽音频播放功能。

Nitol僵尸病毒使用lpk.dll劫持技术(众多正常程序会调用lpk.dll运行,病毒创建一个lpk.dll,就可以得到加载机会),这种攻击手法十分古老,但在低版本操作系统(WIN2003WinXP)中仍然凑效。

病毒通过U盘、移动硬盘、本地磁盘的部分文件夹下复制带毒lpk.dll,将带毒lpk.dll打包进压缩文件等方式进行扩散传播,腾讯御见威胁情报中心监测数据表明,每天都有数万用户感染Nitol僵尸网络。

Nitol僵尸网络活动趋势

从被感染用户分布图可知,广东、河北、浙江为Nitol僵尸网络重度受害地区。

Nitol僵尸网络地区感染情况

二、详细分析

该变种Nitol藏在众多游戏辅助工具、刷机工具、盗版激活工具、常用软件驱动程序及其他一些常用工具软件安装包里,通过软件下载站到达用户电脑,被人为感染Nitol病毒的软件多达上万款,部分被感染的压缩包名如下:

植入Nitol病毒的软件清单(部分)

该版本Nitol协议值未发生变化,C2连接至imddos.my03.com:6688,使用0x10指令下载执行样本。


刷量模块被放置在Temp目录,启动后从图床下载ewe.jpg


Ewe.dll属于开源的跨平台的浏览器引擎Webkit核心模块,有比较完整的网页解析功能。为了减少对当前桌面的影响,减少被发现的概率,主线程中会另起一个虚拟桌面,后续所有的操作都会在新的虚拟桌面中进行,桌面名称“SLDesk”。


准备请求任务列表,根据任务列表及指令,执行具体刷量动作,请求广告域名为it885.com.cn。


每次返回的任务列表多达几千条,每条广告间隔15秒会被刷一次,而且每条广告都可能被刷上几万次。


执行刷量前上报任务日志


目前该木马支持多种方式刷量:

1、点击页面的flash广告


2、点击http超链接,根据返回的内容跳转到指定页面


并根据指令,模拟点击超链接


返回的广告类型包括游戏、汽车、婚恋、赌博类广告,覆盖面十分广泛。

3、直接访问一次URL,完成一次刷量;在x64系统下,病毒会释放内置的PE文件picie.dat,传入URL参数


而在x86系统下病毒会启动自身,并把picie.dat注入到子进程中


为了避免在刷量时产生的广告声音被发现异常,木马每次刷量前都会禁用系统的声音


通过替换注册表Drivers32下的值来控制音频



三、安全建议

对于此类病毒从源头传播到横向传播,电脑管家均可以进行有效的防御和查杀,建议广大网友保持良好的上网习惯,保持电脑管家的正常开启,不要因为使用外挂、游戏辅助工具、盗版激活工具等容易传播病毒的软件。



IOCs

Domain

imddos.my03.com:6688

URL

hxxp://www.it885.com.cn/web/get_ad3_1.asp?type=loadall

hxxp://imddos.my03.com:6688/511135395.html


MD5

fb23c36dcb0ceef4bc9cae5a9f7c92d4

9d518882e451d2c343f6b17e0ef5fd0d

7147ff24579a477a1a34696926e573f1

302f8fc20e175c7769ea8976a30dd436

1e7f93991ba4a17604397132a1f8f039

e90d8273d9f418adc5c2cb4e1e995559

abcf2790d65f476c05f343e94667f6bb

b249029deb84ecfac38160ef16601c0b

6bb80598848683ad11d8aee970f641eb

3573c5322bc1336bbbc65856485d1da8

a0ead738be12651816b2d02ff16591ae

1b318ab041e655f4f472bed606dab292


参考链接:

小心Nitol僵尸网络家族变种!

https://guanjia.qq.com/news/n3/2180.html

电脑管家V13

权限雷达全新升级

详情>>

版本更新:2018.11.12