微软捣毁Nitol僵尸网络的巢穴

微软昨日在官方博客中宣称关闭了Nitol僵尸网络的控制中心。上周早些时候，美国弗吉尼亚州东区地方法院授权微软的数字犯罪部门捣毁一个托管500多种恶意软件的传播渠道Nitol僵尸网络，行动代号“Operation b70”，这次法律和技术行动基于微软的一项研究，从中微软发现网络犯罪分子向不安全的电脑和软件流通市场提供包含恶意软件的盗版软件，用于秘密感染电脑（扩大僵尸网络）。

微软的调查结果表明消费者购买的全新电脑中也往往藏有恶意软件，这些恶意软件通过盗版流通渠道进入不安全的电脑经销渠道（例如水货渠道）。

2011年8月，微软安全研究员从中国不同城市的电脑商城购买了20台计算机，包括10台笔记本和10台台式机，发现所有机器都预装了盗版的Windows XP或Windows 7。在仔细检查之后，他们从一台预装盗版WinXP SP3的笔记本上发现了恶意程序Nitol.A，还有3台分别感染了不活跃的Trafog、EggDrop和Malat。其中感染Nitol的计算机在接入互联网后会被激活，并不停的尝试连接一个命令控制服务器。于是微软顺藤摸瓜，揭开了一个庞大的僵尸网络，这一行动被称为“Operation b70”（PDF）。微软发现，Nitol能通过可移除储存媒介和网络共享传播，它的文件名叫LPK.DLL——所有应用程序都需要载入的DLL文件，因此非常便于传播。它有多个变种，变种A主要在中国流传，每个变种都硬编码一个命令控制服务器域名，感染最集中地区是广东、北京、上海和台北，主要控制命令服务器都位于中国，85.53%的病毒分析样本连接的是中国的服务器，53.33%的病毒样本连接3322.org下的子域名以获取控制命令服务器IP地址。

微软向美国弗吉尼亚地方法院申请限制令，获得了法院发布临时限制令，控制了3322.org域名，从而关闭了 Nitol僵尸网络。这是过去六个月中微软的第二次捣毁僵尸网络巢穴的行动。

根据微软的研究，从不安全的供应链（例如水货笔记本电脑经销商和中关村的电脑商城）处购买的电脑中，超过20%被植入了恶意软件。而这些病毒又能像传染病一样通过U盘和网络感染同事或者家人的电脑。Nitol僵尸网络就是通过这些途径不断传播扩规模。微软警告，从不安全的渠道购买电脑和（盗版）软件都是非常不安全的。