一、简介
Nitol是一个相对古老的僵尸网络,之前腾讯御见威胁情报中心曾爆出Nitol新增挖矿业务,近期又监测到Nitol又开新业务“广告刷量”,通过后台模拟人工点击广告链接来牟利。病毒刷量的操作频率可用疯狂来形容:每15秒点击一个广告资源,每个广告资源会点击上万次,为避免被用户发现,病毒还会在刷量前屏蔽音频播放功能。
Nitol僵尸病毒使用lpk.dll劫持技术(众多正常程序会调用lpk.dll运行,病毒创建一个lpk.dll,就可以得到加载机会),这种攻击手法十分古老,但在低版本操作系统(WIN2003、WinXP)中仍然凑效。
病毒通过U盘、移动硬盘、本地磁盘的部分文件夹下复制带毒lpk.dll,将带毒lpk.dll打包进压缩文件等方式进行扩散传播,腾讯御见威胁情报中心监测数据表明,每天都有数万用户感染Nitol僵尸网络。
Nitol僵尸网络活动趋势
从被感染用户分布图可知,广东、河北、浙江为Nitol僵尸网络重度受害地区。
Nitol僵尸网络地区感染情况
二、详细分析
该变种Nitol藏在众多游戏辅助工具、刷机工具、盗版激活工具、常用软件驱动程序及其他一些常用工具软件安装包里,通过软件下载站到达用户电脑,被人为感染Nitol病毒的软件多达上万款,部分被感染的压缩包名如下:
植入Nitol病毒的软件清单(部分)
该版本Nitol协议值未发生变化,C2连接至imddos.my03.com:6688,使用0x10指令下载执行样本。
刷量模块被放置在Temp目录,启动后从图床下载ewe.jpg
Ewe.dll属于开源的跨平台的浏览器引擎Webkit核心模块,有比较完整的网页解析功能。为了减少对当前桌面的影响,减少被发现的概率,主线程中会另起一个虚拟桌面,后续所有的操作都会在新的虚拟桌面中进行,桌面名称“SLDesk”。
准备请求任务列表,根据任务列表及指令,执行具体刷量动作,请求广告域名为it885.com.cn。
每次返回的任务列表多达几千条,每条广告间隔15秒会被刷一次,而且每条广告都可能被刷上几万次。
执行刷量前上报任务日志
目前该木马支持多种方式刷量:
1、点击页面的flash广告
2、点击http超链接,根据返回的内容跳转到指定页面
并根据指令,模拟点击超链接
返回的广告类型包括游戏、汽车、婚恋、赌博类广告,覆盖面十分广泛。
3、直接访问一次URL,完成一次刷量;在x64系统下,病毒会释放内置的PE文件picie.dat,传入URL参数
而在x86系统下病毒会启动自身,并把picie.dat注入到子进程中
为了避免在刷量时产生的广告声音被发现异常,木马每次刷量前都会禁用系统的声音
通过替换注册表Drivers32下的值来控制音频
三、安全建议
对于此类病毒从源头传播到横向传播,电脑管家均可以进行有效的防御和查杀,建议广大网友保持良好的上网习惯,保持电脑管家的正常开启,不要因为使用外挂、游戏辅助工具、盗版激活工具等容易传播病毒的软件。
IOCs
Domain
imddos.my03.com:6688
URL
hxxp://www.it885.com.cn/web/get_ad3_1.asp?type=loadall
hxxp://imddos.my03.com:6688/511135395.html
MD5
fb23c36dcb0ceef4bc9cae5a9f7c92d4
9d518882e451d2c343f6b17e0ef5fd0d
7147ff24579a477a1a34696926e573f1
302f8fc20e175c7769ea8976a30dd436
1e7f93991ba4a17604397132a1f8f039
e90d8273d9f418adc5c2cb4e1e995559
abcf2790d65f476c05f343e94667f6bb
b249029deb84ecfac38160ef16601c0b
6bb80598848683ad11d8aee970f641eb
3573c5322bc1336bbbc65856485d1da8
a0ead738be12651816b2d02ff16591ae
1b318ab041e655f4f472bed606dab292
参考链接:
小心Nitol僵尸网络家族变种!
https://guanjia.qq.com/news/n3/2180.html
