1、病毒簡介

Nitol木馬病毒是一種具有侵略性的計算機病毒。Nitol木馬病毒執行后，會自我復制到”C:/Windows/System32/”下的一個隨機文件名，把它注冊為服務，服務名稱為”netscvre”。然后將病毒服務的信息寫入注冊表'HKLM/SYSTEM/CurrentControlSet/Services/'?下的鍵值對中，實現開機自啟動。并在每個有”.exe”后綴的路徑下釋放一個”lpk.dll”的文件，進行DLL注入。病毒可以利用IPC建立連接，入侵用戶的主機，向C&C服務器發送主機信息，通過C&C主機傳來的指令進行相應的操作，創建病毒進程，在系統或者移動設備盤中釋放病毒文件anturun.inf，進行病毒的種植與傳播。Nitol木馬病毒還會在主機上創建大量網絡連接操作的僵尸線程，散布木馬病毒，中毒的計算機將會接受病毒作者的遠程控制，形成僵尸網絡。

2、病毒危害

Nitol木馬病毒運行后會使用戶電腦被強制重啟，病毒將會隨著系統的啟動而加載。該木馬完全運行之后，會將用戶計算機的操作系統版本、磁盤分區等信息上傳到黑客指定網址，并且在后臺自動收集用戶的個人信息、游戲賬戶、網上銀行等信息。

3、終端驗證

1、創建文件：

C:/Windows/System32/xkzbkq.exe

文件名是隨機的，固定6個字符加上”.exe”后綴。

在每一個含有”.exe”后綴文件的目錄下釋放”lpk.dll”

2、病毒進程

Nitol的存在形式是exe，是獨立運行的進程，Nitol不會感染其它進程，只需要右鍵結束病毒exe對應的進程即可，Nitol的進程名字為之前創建的文件名。

3、網絡行為

過Wireshark抓包工具發現，下圖是感染主機抓到的DNS流量，它指向了以上兩個地址：

威脅情報顯示，這兩個都是常見的惡意站點地址，截圖如下

4、查殺處理

1、使用EDR進行查殺處理，查殺結束后重啟計算機，并檢查重啟后是否有其他新的文件或進程生成。

2、將病毒新增的注冊表信息刪除，恢復注冊表修改的項目，還原系統設置。

3、掃描局域網內是否有其他可疑計算機連接，關閉不必要的服務或端口，開啟本地防火墻，關閉遠程連接，避免再次感染。

4、在感染病毒的電腦上使用其它殺毒軟件進行全盤掃描查殺，常見的殺毒軟件很多，這里推薦下火絨的：http://www.huorong.cn?

總結

以上是生活随笔為你收集整理的Nitol僵尸网络的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。