Het botnet met de naam Nitol is in de afgelopen maanden door Microsoft aangepakt, waarbij de bijzondere verspreiding van de malware in het oog sprong. Volgens Microsoft was de malware die de hardware opnam in het botnet, geïnstalleerd op nieuwe computers in de zogeheten supplychain, de toeleveringsketen vanaf fabriek naar de winkel. Daardoor kochten Chinese consumenten pc's met Windows erop die al besmet waren met malware voordat ze thuis uit de verpakking werden gehaald.

Op het moment dat de computers aangesloten werden op het internet, zocht de pc contact met het domein 3322.org, dat eigendom is van de Chinese zakenman Peng Yong. De man is vervolgens aangeklaagd door Microsoft, maar het bedrijf zegt nu dat het een schikking is overeengekomen met Yong. Hij heeft toegezegd samen te werken met Microsoft en de Chinese CN-CERT om verder misbruik van het domein te voorkomen, meldt Associated Press. Het bewuste domein hostte behalve Nitol nog eens meer dan 500 soorten malware.

Geinfecteerd verkeer naar sinkhole geleid

Peng Yong heeft nu toegezegd het internetverkeer dat door Nital wordt gegenereerd naar een daarvoor opgezette sinkhole te leiden. Die server wordt beheerd door de Chinese autoriteiten. De Chinese zakenman zou in eerste instantie alle beschuldigingen hebben ontkend, maar die zijn nu van tafel doordat Microsoft de aanklacht heeft teruggetrokken. Microsoft claimt verder alle subdomeinen, 70.000 stuks, die onder 3322.org hangen, onder controle te hebben.

Vanuit die subdomeinen heeft Microsoft 609 miljoen verbindingspogingen geblokkeerd vanaf 7,6 miljoen unieke IP-adressen. De bevindingen zijn door Microsoft gedeeld met de CERTs in meer dan 40 getroffen landen. De namen van die landen zijn niet vrijgegeven.