一、简介

Nitol是一个相对古老的僵尸网络，之前腾讯御见威胁情报中心曾爆出Nitol新增挖矿业务，近期又监测到Nitol又开新业务“广告刷量”，通过后台模拟人工点击广告链接来牟利。病毒刷量的操作频率可用疯狂来形容：每15秒点击一个广告资源，每个广告资源会点击上万次，为避免被用户发现，病毒还会在刷量前屏蔽音频播放功能。 

Nitol僵尸病毒使用lpk.dll劫持技术（众多正常程序会调用lpk.dll运行，病毒创建一个lpk.dll，就可以得到加载机会），这种攻击手法十分古老，但在低版本操作系统（WIN2003、WinXP）中仍然凑效。

Nitol僵尸网络活动趋势

从被感染用户分布图可知，广东、河北、浙江为Nitol僵尸网络重度受害地区。

Nitol僵尸网络地区感染情况

二、详细分析

该变种Nitol藏在众多游戏辅助工具、刷机工具、盗版激活工具、常用软件驱动程序及其他一些常用工具软件安装包里，通过软件下载站到达用户电脑，被人为感染Nitol病毒的软件多达上万款，部分被感染的压缩包名如下：

植入Nitol病毒的软件清单（部分）

该版本Nitol协议值未发生变化，C2连接至imddos.my03.com:6688，使用0x10指令下载执行样本。

刷量模块被放置在Temp目录，启动后从图床下载ewe.jpg

Ewe.dll属于开源的跨平台的浏览器引擎Webkit核心模块，有比较完整的网页解析功能。为了减少对当前桌面的影响，减少被发现的概率，主线程中会另起一个虚拟桌面，后续所有的操作都会在新的虚拟桌面中进行，桌面名称“SLDesk”。

准备请求任务列表，根据任务列表及指令，执行具体刷量动作，请求广告域名为it885.com.cn。

每次返回的任务列表多达几千条，每条广告间隔15秒会被刷一次，而且每条广告都可能被刷上几万次。

执行刷量前上报任务日志

目前该木马支持多种方式刷量：

1、点击页面的flash广告

2、点击http超链接，根据返回的内容跳转到指定页面

并根据指令，模拟点击超链接

返回的广告类型包括游戏、汽车、婚恋、赌博类广告，覆盖面十分广泛。 

3、直接访问一次URL，完成一次刷量；在x64系统下，病毒会释放内置的PE文件picie.dat，传入URL参数

而在x86系统下病毒会启动自身，并把picie.dat注入到子进程中

为了避免在刷量时产生的广告声音被发现异常，木马每次刷量前都会禁用系统的声音

通过替换注册表Drivers32下的值来控制音频

三、安全建议

对于此类病毒从源头传播到横向传播，电脑管家均可以进行有效的防御和查杀，建议广大网友保持良好的上网习惯，保持电脑管家的正常开启，不要因为使用外挂、游戏辅助工具、盗版激活工具等容易传播病毒的软件。

IOCs

Domain

imddos.my03.com:6688

URL

hxxp://www.it885.com.cn/web/get_ad3_1.asp?type=loadall

hxxp://imddos.my03.com:6688/511135395.html

MD5

fb23c36dcb0ceef4bc9cae5a9f7c92d4

9d518882e451d2c343f6b17e0ef5fd0d

7147ff24579a477a1a34696926e573f1

302f8fc20e175c7769ea8976a30dd436

1e7f93991ba4a17604397132a1f8f039

e90d8273d9f418adc5c2cb4e1e995559

abcf2790d65f476c05f343e94667f6bb

b249029deb84ecfac38160ef16601c0b

6bb80598848683ad11d8aee970f641eb

3573c5322bc1336bbbc65856485d1da8

a0ead738be12651816b2d02ff16591ae

1b318ab041e655f4f472bed606dab292

参考链接:

小心Nitol僵尸网络家族变种！

https://guanjia.qq.com/news/n3/2180.html