Nitol僵尸网络

最新推荐文章于 2022-11-04 10:49:02 发布
最新推荐文章于 2022-11-04 10:49:02 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: 安全知识 文章标签: 网络 windows 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/122603069
版权

1、病毒简介

Nitol木马病毒是一种具有侵略性的计算机病毒。Nitol木马病毒执行后,会自我复制到”C:/Windows/System32/”下的一个随机文件名,把它注册为服务,服务名称为”netscvre”。然后将病毒服务的信息写入注册表'HKLM/SYSTEM/CurrentControlSet/Services/' 下的键值对中,实现开机自启动。并在每个有”.exe”后缀的路径下释放一个”lpk.dll”的文件,进行DLL注入。病毒可以利用IPC建立连接,入侵用户的主机,向C&C服务器发送主机信息,通过C&C主机传来的指令进行相应的操作,创建病毒进程,在系统或者移动设备盘中释放病毒文件anturun.inf,进行病毒的种植与传播。Nitol木马病毒还会在主机上创建大量网络连接操作的僵尸线程,散布木马病毒,中毒的计算机将会接受病毒作者的远程控制,形成僵尸网络。

2、病毒危害

Nitol木马病毒运行后会使用户电脑被强制重启,病毒将会随着系统的启动而加载。该木马完全运行之后,会将用户计算机的操作系统版本、磁盘分区等信息上传到黑客指定网址,并且在后台自动收集用户的个人信息、游戏账户、网上银行等信息。

3、终端验证

1、创建文件:

C:/Windows/System32/xkzbkq.exe

文件名是随机的,固定6个字符加上”.exe”后缀。

在每一个含有”.exe”后缀文件的目录下释放”lpk.dll”

2、病毒进程

Nitol的存在形式是exe,是独立运行的进程,Nitol不会感染其它进程,只需要右键结束病毒exe对应的进程即可,Nitol的进程名字为之前创建的文件名。

3、网络行为

过Wireshark抓包工具发现,下图是感染主机抓到的DNS流量,它指向了以上两个地址:

威胁情报显示,这两个都是常见的恶意站点地址,截图如下

4、查杀处理

1、使用EDR进行查杀处理,查杀结束后重启计算机,并检查重启后是否有其他新的文件或进程生成。

2、将病毒新增的注册表信息删除,恢复注册表修改的项目,还原系统设置。

3、扫描局域网内是否有其他可疑计算机连接,关闭不必要的服务或端口,开启本地防火墙,关闭远程连接,避免再次感染。

4、在感染病毒的电脑上使用其它杀毒软件进行全盘扫描查杀,常见的杀毒软件很多,这里推荐下火绒的:http://www.huorong.cn 

Sword-heart
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全僵尸网络与蠕虫的学习笔记
升升的博客
06-17 2226
僵尸网络与蠕虫 ** 僵尸网络 ** 僵尸网络(Botnets)工作 僵尸网络(Botnets)这个名称本身是“robot”和“network”两个单词的混合。从广义上讲,僵尸网络: 一个用来实施网络犯罪的机器人网络。控制它们的网络罪犯被称为僵尸主人或机器人牧人(Botmaster)。 规模的重要性 为了建立一个僵尸网络,Botmaster需要尽可能多感染在线设备, 连接的机器人越多,僵尸网络就越大。僵尸网络越大,影响就越大。 僵尸网络感染 僵尸网络的创建通常不仅仅是为了攻击一台电脑,它们被设计用来感染数百
某后门病毒详细分析报告(1)——适合新手
weixin_43742894的博客
04-11 2397
0x00样本信息 样本名称:未知 样本家族:NITOL 样本类型:样本类型:远控后门木马 创建时间:星期二 11 十月 2016, 09:49:04 文件大小:21.00 KB (21504 bytes) MD5: 5B8BC92296C2FA60FECC6316AD73F1E2 SHA-1: 44B95162F85B81E71E5F2E7ABBC904A6339CE0AA 病毒行为:病毒...
微软瓦解Nitol僵尸网络
mmdev
09-26 591
微软刚刚瓦解了Nitol僵尸网络,控制了500多种不同恶意软件变体。该软件巨人表示这些恶意软件秘密地嵌入在盗版Windows软件中,通过供应链当中的脆弱节点传播。美国维吉尼亚州东区的地区法院同意微软通过接管3322.org这个域名、以及7万多个藏有该恶意软件的子域名瓦解Nitol僵尸网络。微软表示自从2008年以来该域名一直处于活跃状态。   该僵尸网络被拿下代表着最近六个月以来此类行动...
Wannacry ExternalBlue漏洞又被利用 Backdoor.Nitol和Gh0st远程控制恶意软件正在传播
weixin_33980459的博客
09-01 545
在WannaCry 勒索病毒中被使用的ExternalBlue, 现在正被用来分发 Backdoor.Nitol和 Gh0st 远程控制RAT恶意软件。FireEye 的安全研究人员说, 正如 WannaCry 网络犯罪分子所做的那样, 威胁行为者也是利用了相同的microsoft 服务器消息块 (smb) 协议漏洞 (MS017-010)。 Fire...
linux抓取僵尸网络进程脚本
weixin_40111182的博客
11-24 3248
linux抓取僵尸网络进程脚本 安全运维过程中经常会发现安全设备防火墙或IPS有僵尸网络攻击告警,直接阻断很可能影响业务,很多时候需要到源ip主机上溯源。以下编写shell脚本,记录访问目的ip的进程,根据进程由业务人员查看是否为正常业务,进一步做研判。 #!/bin/bash read -t 30 -p "请输入僵尸网络IP:" IP_botnet cmd_results=`netstat -anp | grep "$IP_botnet"` while [ -z "$cmd_results" ] do
僵尸网络检测和抑制方法
最新发布
哼哼唧唧
11-04 3489
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC聊天网络中出现了Bot工具——Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
botnet、C&C服务器相关基础
围城
04-06 1711
2020/05/15 文章[1]对DGA的域名生成进行了简单的描述。我的理解就是,通过模拟和恶意软件一样的DGA算法,选择几个作为目标进行注册,这样就能建立通信。当然怎么会这么巧就注册上了,我猜是靠概率,只需要弄一定数量的就可以。 文章[2]是对C&C控制的综述,从中可以看出这部分内容的对抗还是挺多的,这个作为科普材料了解。 我感觉对于botnet、DNS等,是值得研究的方向。 [4-5...
Gamarue僵尸网络
swordheart的博客
01-20 2807
Gamarue僵尸网络 1、病毒简介 Gamarue病毒是一种通过移动设备传播的蠕虫病毒,病毒运行后创建进程“wuauclt.exe”,将进程的内存镜像替换成病毒镜像,然后执行病毒代码。修改注册表,实现开机自启动。病毒会将自身写入至系统目录,临时文件夹中也会存在随机文件名的病毒主体。 当U盘、移动硬盘等移动存储设备插入时被立刻感染,U盘内的所有文件被转移到一个隐藏文件夹中。染毒U盘中会出现一个thumbs.db文件,其本体是加密后的PE文件“TrustedInstaller.exe”,程序会把这个文件
网络蠕虫和僵尸网络等恶意代码防范技术原理
我的个人博客
09-08 4342
网络蠕虫分析与防护、僵尸网络分析与防护、逻辑炸弹、陷门、细菌、间谍软件、恶意代码防护主要产品与技术指标、恶意代码防护技术应用
僵尸网络病毒之BotNet扫盲、预防及清除
kevinhg的博客
10-14 9737
僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”(如:信用卡,网络银行支付帐号,股票资金帐户.等等)。
深信服僵尸网络查杀工具
11-12
深信服僵尸网络查杀工具 深信服僵尸网络查杀工具 深信服僵尸网络查杀工具
威胁情报分析_第一站
soldi_er的博客
03-20 3633
文章目录常见技能要求引言和概念现实难题独特优势概念常见情报标签(待)威胁情报分类(待)行业标准和规范(待)威胁情报平台1.微步在线2.RedQueen-天际友盟3.安恒威胁情报中心4.360威胁情报中心5.IBM X-Force Exchange6.AlienVault情报实验室安恒猎影实验室个人感受参考 常见技能要求 引言和概念 现实难题   传统的防御机制往往是根据以往的“经验”来构建安全防御策略,即使是基于机器学习的检测算法也是如此,都难以应付未知攻击。   在网络攻击呈现多样化、复杂化、专业化的趋势
Botnet中的C&C
neuisf的博客
12-17 3993
C&C(Command and Control)是僵尸网络的核心部分,攻击者在维护、管理僵尸网络的时候,需要通过C&C来完成和僵尸机之间的通讯,达到远程控制的目的。 早期的僵尸网络拓扑结构以集中式为主,如基于IRC 的僵尸网络,该类型的僵尸网络通过IRC协议实现通信。形成星形的拓扑结构,IRC服务器作为中心节点。僵尸病毒感染主机后,主动加入IRC服务器上的一个预设的聊天室(Cha...
Virut僵尸网络
swordheart的博客
01-23 2446
Virut僵尸网络 1、病毒简介 Virut感染性病毒,是通过感染全盘可执行文件、HTML文档来达到破坏计算机系统的目的。一般是将恶意代码注入到其它进程中运行的,可以是系统进程或者其它应用进程,注入比较多的进程是系统进程winlogon.exe。感染主机的绝大多数进程都被挂了类型为inline的进程钩子,持续关注关键系统调用,截取或篡改系统信息 2、病毒危害 Virut的目的在于长期利用受害者主机,窃取用户重要信息,下载并给用户安装不必要的流氓或恶意软件,以赚取软件安装费用,也可做为DDoS终端
看恶意软件Nitol如何使用新技术逃避沙盒检测
weixin_34234721的博客
08-04 216
安全人员最近观察到,Nitol僵尸网络在利用基于宏的恶意文档发动分布式攻击时,使用了新的逃避技术。 恶意软件作者想尽各种办法以躲开沙盒检测的事情并不新鲜,但此次Nitol僵尸网络使用的技术,非常新奇和聪明。它们使用了宏编码的混淆技术和多阶段攻击方法论,以确保终端设备被入侵。 据研究人员分析,Nitol的这种基于宏的恶意文档发动的分布式攻击,加上了口令保护...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 6236
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
一个DDOS木马后门病毒的分析
Fly20141201. 的专栏
10-21 6182
一、样本信息 文件名称:803c617e665ff7e0318386e24df63038 文件大小:61KB 病毒名称:DDoS/Nitol.A.1562 MD5:803c617e665ff7e0318386e24df63038 Sha-1:e05277aafd161470b020e9e8d2aa2dcb9759328c   二、样本行为 0x1.打开与当前病毒进程
网站后门查杀检测与清除
03-12 635
收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无...
网 络 世 界 的 黑 暗 面
图灵教育
11-24 2956
与其说计算机网络是一项技术,不如说它是另一个「世界」。虽然这个「世界」为现实的我们提供了前所未有的发展,但是它却是充满了黑暗。本文我们就来聊聊,这个网络世界的黑暗是如何开始的?黑 和 白...
僵尸网络 Botnet
RedArvin的博客
10-30 3891
(最近学习人工智能有个识别DGA域名的小作业,就去了解了一下僵尸网络。) 1.什么是僵尸网络 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。[FROM 百度百科] 僵尸主控机通过 ** 命令和控制信道(C&C) **与被感染主机通信,利用被感染主机进行挖矿、发送大量垃圾邮件、实施ddos攻击、部署中转服务器等。 2.几个重要概念 (1)命令控制信道 命令控制信道(Command & Contr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值