微软刚刚瓦解了Nitol僵尸网络，控制了500多种不同恶意软件变体。该软件巨人表示这些恶意软件秘密地嵌入在盗版Windows软件中，通过供应链当中的脆弱节点传播。美国维吉尼亚州东区的地区法院同意微软通过接管3322.org这个域名、以及7万多个藏有该恶意软件的子域名瓦解Nitol僵尸网络。微软表示自从2008年以来该域名一直处于活跃状态。

该僵尸网络被拿下代表着最近六个月以来此类行动的第二波。在三月微软瓦解了Zeus僵尸网络的一部分，对掌握的Zeus网络的IP进行流量清洗(sink holing)、确定了成百上千感染了Zeus恶意软件计算机的位置。

针对Nitol僵尸网络的行动源自微软寻找不安全供应链的研究。根据由微软提交给法院的文档，该研究开始于2011年8月。取证调查人员在中国购买了20台PC,分析它们后，他们发现零售商正在销售携有隐藏嵌入该恶意软件的盗版Windows的计算机。该公司表示研究人员在黑市购买的这些PC中20%感染了恶意软件。

“该研究证实了网络罪犯们预先将恶意软件植入到安装有盗版Windows的计算机中，再销售给无辜的人们”,微软数字化犯罪部门的高级律师Richard Domingues Boscovich写道。“该恶意软件能够通过USB这样的设备像感染性疾病一样传播，在仅仅共享计算机文件时可能造成受害人的家庭、朋友以及同事的系统感染该恶意软件”.

维吉尼亚州被控制的PC主机

超过4000台Windows机器被发现感染了Nitol恶意软件，包括好几个位于维吉尼亚州的PC.该恶意软件由root工具套装组成，它作为后台进程运行并打开一个隐匿的通信隧道。远程访问木马能让网络罪犯事实上完全控制受感染的机器。此外也侦测到记录键盘敲击的keylogging木马。微软表示，这个Nitrol僵尸网络的案例宣告了由 Waledac、Rustock以及Kelihos僵尸网络诸多同样的违规行动。

微软点名指控Peng Yong以及其他不知姓名的嫌疑人，并且被批准了一个限制令，能让该软件制造商通过自己的域名系统托管3322.org域名。接下来该公司可以拦截被感染机器与僵尸网络的命令和控制服务器之间的通信。“这个行动将会极大地减少Nitol僵尸网络以及3322.org域名的险恶和令人担忧的威胁的影响，将有助于将人们的计算机从该恶意软件的控制中解救出来”,Boscovich表示。

(责任编辑：)