Nitol es una botnet diseñada para llevar a cabo ataques DDoS . Es de origen asiático , muy probablemente fabricado en China . Tiene dos versiones (.A y .B), pero son prácticamente iguales. Ambas versiones son rootkits , lo que significa que son invisibles para los programas antivirus [1] . La mayoría de los servidores de ambas versiones de la botnet se encuentran en China [1] .
La operación de Microsoft contra la red de bots Nitol se denominó "b70" [2] .
En septiembre de 2012, el operador del dominio 3322.org acordó cooperar con Microsoft. Usando este dominio, la mayoría de los dispositivos infectados con Nitol obtuvieron las direcciones IP de los servidores de botnet. Desde la colaboración, se han bloqueado alrededor de 7 650 000 direcciones IP únicas asociadas con 3322.org [2] . Este dominio ha sido conocido por propagar varios programas maliciosos desde 2008 [3] , la mayoría de los cuales son puertas traseras y troyanos .
Nitol se distribuye a través de unidades USB y discos duros y, por lo tanto, cuando una computadora se infecta, todos los medios extraíbles se infectarán con él. El archivo Nitol se llama LPK .DLL . Cuando se infecta, se copia a sí mismo en directorios que contienen aplicaciones y archivos de archivos comprimidos, y la computadora infectada se conecta a la botnet. Nitol también tiene propiedades de puerta trasera que lo ayudan a iniciar y descargar archivos de forma remota en dispositivos infectados [1] .
Más de la mitad de los dispositivos infectados analizados contactaron con los subdominios 3322.org (alrededor de 70.000 [2] ) para obtener las direcciones IP de los servidores botnet, el resto de los dispositivos contactaron con otros dominios.
| botnets | |
|---|---|
| |
| |