微软瓦解Nitol僵尸网络

最新推荐文章于 2022-01-20 15:41:52 发布
最新推荐文章于 2022-01-20 15:41:52 发布
阅读量593 收藏
点赞数

微软刚刚瓦解了Nitol僵尸网络,控制了500多种不同恶意软件变体。该软件巨人表示这些恶意软件秘密地嵌入在盗版Windows软件中,通过供应链当中的脆弱节点传播。美国维吉尼亚州东区的地区法院同意微软通过接管3322.org这个域名、以及7万多个藏有该恶意软件的子域名瓦解Nitol僵尸网络。微软表示自从2008年以来该域名一直处于活跃状态。

  该僵尸网络被拿下代表着最近六个月以来此类行动的第二波。在三月微软瓦解了Zeus僵尸网络的一部分,对掌握的Zeus网络的IP进行流量清洗(sink holing)、确定了成百上千感染了Zeus恶意软件计算机的位置。

  针对Nitol僵尸网络的行动源自微软寻找不安全供应链的研究。根据由微软提交给法院的文档,该研究开始于2011年8月。取证调查人员在中国购买了20台PC,分析它们后,他们发现零售商正在销售携有隐藏嵌入该恶意软件的盗版Windows的计算机。该公司表示研究人员在黑市购买的这些PC中20%感染了恶意软件。

iteye_17686
关注
某后门病毒详细分析报告(1)——适合新手
weixin_43742894的博客
04-11 2411
0x00样本信息 样本名称:未知 样本家族:NITOL 样本类型:样本类型:远控后门木马 创建时间:星期二 11 十月 2016, 09:49:04 文件大小:21.00 KB (21504 bytes) MD5: 5B8BC92296C2FA60FECC6316AD73F1E2 SHA-1: 44B95162F85B81E71E5F2E7ABBC904A6339CE0AA 病毒行为:病毒...
网络安全之僵尸网络与蠕虫的学习笔记
升升的博客
06-17 2236
僵尸网络与蠕虫 ** 僵尸网络 ** 僵尸网络(Botnets)工作 僵尸网络(Botnets)这个名称本身是“robot”和“network”两个单词的混合。从广义上讲,僵尸网络: 一个用来实施网络犯罪的机器人网络。控制它们的网络罪犯被称为僵尸主人或机器人牧人(Botmaster)。 规模的重要性 为了建立一个僵尸网络,Botmaster需要尽可能多感染在线设备, 连接的机器人越多,僵尸网络就越大。僵尸网络越大,影响就越大。 僵尸网络感染 僵尸网络的创建通常不仅仅是为了攻击一台电脑,它们被设计用来感染数百
Nitol僵尸网络
swordheart的博客
01-20 2477
1、病毒简介 Nitol木马病毒是一种具有侵略性的计算机病毒。Nitol木马病毒执行后,会自我复制到”C:/Windows/System32/”下的一个随机文件名,把它注册为服务,服务名称为”netscvre”。然后将病毒服务的信息写入注册表'HKLM/SYSTEM/CurrentControlSet/Services/'下的键值对中,实现开机自启动。并在每个有”.exe”后缀的路径下释放一个”lpk.dll”的文件,进行DLL注入。病毒可以利用IPC建立连接,入侵用户的主机,向C&C服务器发送.
威胁情报分析_第一站
soldi_er的博客
03-20 3640
文章目录常见技能要求引言和概念现实难题独特优势概念常见情报标签(待)威胁情报分类(待)行业标准和规范(待)威胁情报平台1.微步在线2.RedQueen-天际友盟3.安恒威胁情报中心4.360威胁情报中心5.IBM X-Force Exchange6.AlienVault情报实验室安恒猎影实验室个人感受参考 常见技能要求 引言和概念 现实难题   传统的防御机制往往是根据以往的“经验”来构建安全防御策略,即使是基于机器学习的检测算法也是如此,都难以应付未知攻击。   在网络攻击呈现多样化、复杂化、专业化的趋势
僵尸网络 Botnet
RedArvin的博客
10-30 3902
(最近学习人工智能有个识别DGA域名的小作业,就去了解了一下僵尸网络。) 1.什么是僵尸网络 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。[FROM 百度百科] 僵尸主控机通过 ** 命令和控制信道(C&C) **与被感染主机通信,利用被感染主机进行挖矿、发送大量垃圾邮件、实施ddos攻击、部署中转服务器等。 2.几个重要概念 (1)命令控制信道 命令控制信道(Command & Contr
Botnet中的C&C
neuisf的博客
12-17 4005
C&C(Command and Control)是僵尸网络的核心部分,攻击者在维护、管理僵尸网络的时候,需要通过C&C来完成和僵尸机之间的通讯,达到远程控制的目的。 早期的僵尸网络拓扑结构以集中式为主,如基于IRC 的僵尸网络,该类型的僵尸网络通过IRC协议实现通信。形成星形的拓扑结构,IRC服务器作为中心节点。僵尸病毒感染主机后,主动加入IRC服务器上的一个预设的聊天室(Cha...
一个DDOS木马后门病毒的分析
Fly20141201. 的专栏
10-21 6189
一、样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038 Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c   二、样本行为 0x1.打开与当前病毒进程
Botnet-Zoo:整理每个流行的botnet家族的专杀脚本,靶机环境,检测规则,病毒样本,病毒原理图
03-04
僵尸网络 整理每个流行的botnet家族的专杀脚本,靶机环境,检测规则,病毒样本,病毒原理图 StartMiner/ # 家族名 | |---2010/ # 2020年10月变种 | |--- analyzer/ # yara规则、威胁向量 |--- killer/ # 专杀脚本 |--- malbox/ # docker靶机环境 |--- picture/ # 病毒原理图 |--- samples/ # 病毒样本
无进程DLL木马开发思路与实现
pl2597758的专栏
05-15 679
最近新型木马有向无进程DLL木马方向发展的趋势。虽然,编程方法多种多样,但原理基本上是相通的。我们特组织了这篇文章,使大家对此有更多的了解:一)Windows下进程的隐藏在M$的32位操作系统中,有许许多多的办法可以实现进程隐藏的功能。在Win98下将程序 注册为系统服务就可以实现在进程列表里的隐藏,但是在NT/2000下,由于操作系统添加了许多特性使得进程的隐藏提到了一个新的高度。其中,
转《DLL木马进程内幕大揭秘》
yiyeqinghuasoon
12-26 263
如果是位经常玩“马马”的朋友,那么一般情况下都会或多或少掌握一些木马的特性,然而,很多朋友还是不知道“DLL木马”是什么东东。那到底什么是“DLL木马”呢?它与一般的木马又有什么不同?带着这些疑问,一起开始这次揭密之旅吧!一、追根溯源从DLL说起要了解什么是“DLL木马”,就必须知道“DLL”是什么意思!说起DLL,就不能不涉及到久远的DOS时代。在DOS大行其道的时代,写程序是一件繁琐的事情,因...
了解lpk.dll是什么病毒以及lpk.dll病毒专杀方法
weixin_34161083的博客
03-25 2537
pk.dll病毒是当下比较流行的一类病毒,而正常系统本身也会存在lpk.dll文件,这足以说明这类病毒的危险性。系统本身的lpk.dll文件位于C:WINDOWSsystem32和C:WINDOWSsystem32dllcache目录下。下面小编就带大家了解下lpk.dll是什么病毒以及lpk.dll病毒专杀方法。     lpk.dll是什么病毒   lpk.dll病毒的典型特征是感染存在...
Backdoor.Zegost木马病毒分析(一)
Fly20141201. 的专栏
12-27 5219
http://blog.csdn.net/qq1084283172/article/details/50413426 一、样本信息 样本名称:rt55.exe 样本大小: 159288 字节 文件类型:EXE文件 病毒名称:Win32. Backdoor.Zegost 样本MD5:C176AF21AECB30C2DF3B8B8D8AA27510 样本SHA1:16E95
记一次清除ddos肉鸡的经历
热门推荐
gaojie314的专栏
05-18 1万+
其实这个事情发生在2014年10月份的时候,那个时候就想把经历写成博客来着,但是当时任务过多搁置了,当然也不排除我懒的原因吧! 最近也是因为在微云发现我当时保存的肉鸡样本,才想起现在来写点什么, 目前只能凭借依稀记忆和样本来写这篇博客啦。 样本如下: 好了begin 。。。 是这样的,公司内网有一题台服务器,一个星期到某个时段公司所有机器断网上不去网的情况,
XorDDos木马清除
gosenkle的专栏
05-07 3075
1、现象1)cpu使用超高2)网络流量异常3)服务器卡顿2、表现1)top命令,一个随机文件在运行,且kill后会生成新的随机文件名再次运行。2)chkconfig --list | grep on这里还被设置成了开机启动3、安装clamav扫描并删除感染文件 <1> yum install -y epel-release <2>  yum install clam...
DDoS 攻击详解
程序员世杰
02-20 2726
一、介绍 1.什么是DDoS 全称 Distributed Denial of Service,中文意思为 “分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。通俗点讲就是利用网络节点资源如:IDC 服务器、个人 PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求,从而导致服务器拥塞而无法对外提供正常服务,只能宣布 game over。 2...
一个DDOS病毒的分析(一)
weixin_30355437的博客
06-17 260
一、基本信息 样本名称:Rub.EXE 样本大小:21504字节 病毒名称:Trojan.Win32.Rootkit.hv 加壳情况:UPX(3.07) 样本MD5:035C1ADA4BACE78DD104CB0E1D184043 样本SHA1:BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成: 病毒母体...
祭----------------一次查杀linux木马的经历
Stephen.G
02-19 1307
症状表现: 公司内部网络有一天突然开始卡顿,有几个应用特别慢。网络人员查网络,发现有一台机子在大量的发送数据,大概每秒百兆这样子。 -------------------------------------------华丽丽的分割线----------------------------------------------------- 查找原因: 安装iftop: 由于那台机子没有装i
记一次木马查杀
mayongze321的博客
08-19 440
感染所有html htm文件以及dll exe 正则替换木马 ()([\s\S]*) (0)([\s\S]*)() 0
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值