本帖最后由 Tiny 于 2017-9-4 10:53 编辑
1简述深信服安全实验室 1.1什么是Nitol病毒Nitol是一种通过dll劫持的方式进行蠕虫式传播的僵尸网络病毒,影响windows操作系统。其会通过网络共享和移动介质等进行传播和扩散。 1.2有哪些危害Nitol是一种僵尸网络,该病毒并不会像勒索病毒等会有很明显的感受,其主要功能是搜集被感染主机的信息发送给攻击者,并接收攻击者的控制指令,可以下载和运行别的病毒家族,对外进行DDoS流量攻击,影响带宽使用等。还可以作为肉鸡出售使apt攻击者可以直接获取组织内部的跳板机进行进一步更深入的攻击。 2中毒症状2.1释放恶意lpk.dll感染Nitol后,该病毒会在含有exe程序的目录下释放恶意的lpk.dll用于劫持程序的执行流,该lpk.dll文件是隐藏属性: 查看隐藏属性,可以通过工具栏的文件夹选项进行勾选 2.2释放病毒文件Nitol会将自己拷贝到C:\Windows\System32\目录下,命名为一个6个随机字符组成的恶意exe文件 2.3添加启动项创建服务Nationalybm来进行自启动,在注册表中的位置为: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nationalybm 2.4病毒进程病毒进程直接可以在任务管理器中查看到 但是病毒也可以通过释放的lpk.dll来实现再次启动,由于exe程序均会调用lpk.dll,因此调用exe的时候通过恶意的lpk.dll也是可以启动病毒的 病毒进程会执行命令taskkill /f /im ZhuDongFangYu.exe来结束主动防御进程 2.5网络行为病毒会频繁连接C&C服务器 vip.360ddos.com 等域名 该病毒也会感染移动介质和网络共享,将lpk.dll放入其中,利用dll劫持来达到运行和传播的目的 3如何查杀目前这种病毒常见杀软均可以查杀,由于没有对文件进行破坏性感染,直接使用杀软即可查杀干净和使系统恢复正常 | 
发表于 2017-9-4 10:47
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
