Nitol (ботнет)
Nitol — ботнет, сделанный для проведения DDoS-атак. Имеет азиатское происхождение, скорее всего, был сделан в Китае. Имеет две версии (.A и .B), однако они практически ничем не отличаются. Обе версии являются руткитами, то есть они малозаметны для антивирусных программ[1]. Большинство серверов обеих версий ботнета находятся в Китае[1].
Попытки ликвидации ботнета
Операция Microsoft, направленная против ботнета Nitol получила кодовое название «b70»[2].
В сентябре 2012 года оператор домена 3322.org договорился о сотрудничестве с Microsoft. С помощью этого домена большинство заражённых Nitol устройств получали IP-адреса серверов ботнета. После заключения сотрудничества было заблокировано около 7 650 000 уникальных IP-адресов, связанных с 3322.org[2]. Этот домен уже ранее был известен распространением различных вредоносных программ ещё с 2008 года[3], среди них большинство являются бэкдорами и троянами.
Схема работы ботнета
Nitol распространяется по USB-накопителям и жёстким дискам, а потому при заражении компьютера все съёмные носители станут им заражены. Файл Nitol имеет название LPK.DLL. При заражении он копирует себя в каталоги, содержащие сжатые файловые архивы и приложения, а заражённый компьютер привязывается к ботнету. Nitol также имеет свойства бэкдора, что помогает ему удалённо запускать и скачивать файлы на заражённые устройства[1].
Более половины анализированных заражённых устройств связывались с поддоменами 3322.org (их около 70,000[2]) для получения IP-адресов серверов ботнета, остальные устройства связывались с другими доменами.
См. также
Примечания
- ↑ 1,0 1,1 1,2 Архивированная копия (недоступная ссылка). Дата обращения: 9 октября 2021. Архивировано 13 января 2013 года.
- ↑ 2,0 2,1 2,2 Chinese Nitol botnet host back up after Microsoft settles lawsuit . The Register. Дата обращения: 2021.10.09. Архивировано 9 октября 2021 года.
- ↑ Microsoft seizes Chinese dot-org to kill Nitol bot army . The Register. Дата обращения: 2021.10.09. Архивировано 9 октября 2021 года.