微軟安全研究員從中國(guó)不同城市購(gòu)買了20臺(tái)計(jì)算機(jī)，10臺(tái)筆記本10臺(tái)臺(tái)式機(jī)。在仔細(xì)檢查之后，他們從一臺(tái)預(yù)裝盜版WinXP SP3的筆記本上發(fā)現(xiàn)了惡意程序Nitol，還有3臺(tái)分別感染了Trafog、EggDrop和Malat。只有感染Nitol的計(jì)算機(jī)在不停的嘗試連接一個(gè)命令控制服務(wù)器，于是微軟對(duì)此展開了跟蹤研究，揭開了一個(gè)龐大的僵尸網(wǎng)絡(luò)，這一行動(dòng)被稱為“Operation b70” （PDF）。

微軟發(fā)現(xiàn)，Nitol能通過可移除儲(chǔ)存媒介和網(wǎng)絡(luò)共享傳播，它的文件名叫LPK.DLL——所有應(yīng)用程序都需要載入的DLL文件，因此非常便于傳播。

它有多個(gè)變種，變種A主要在中國(guó)流傳，每個(gè)變種都硬編碼一個(gè)命令控制服務(wù)器域名，感染最集中地區(qū)是廣東、北京、上海和臺(tái)北，主要控制命令服務(wù)器都位于中國(guó)，85.53%的病毒分析樣本連接的是中國(guó)的服務(wù)器，53.33%的病毒樣本連接3322.org下的子域名以獲取控制命令服務(wù)器IP地址。

微軟向美國(guó)地區(qū)法院申請(qǐng)限制令，獲得了法院發(fā)布臨時(shí)限制令，控制了3322.org域名，關(guān)閉了 Nitol僵尸網(wǎng)絡(luò)。微軟警告，購(gòu)買盜版系統(tǒng)是有風(fēng)險(xiǎn)的。