forrás: MS Technet blog

A Microsoft Digitális Bűnözés elleni csapata (Digital Crime Unit) a legutóbbi műveletében (Operation b70) egy olyan bűnözői csoportot göngyölített fel, amely beépült a notebookgyártók beszállítói láncába, és a laptopokat már a piacra kerülés előtt fertőzték meg. A használt kártevő a Nitol botnethez tartozik és az alkalmazott terjesztési módszer jelentősen hozzájárult a rootkit terjedéséhez.

A vizsgálat kezdetén - 2011 augusztusában - a DCU "ügynökei" 20 gépet vásároltak különböző kínai városokból és ezekből egy gépen (laptopon) találtak előre installált rootkitet.
A rootkit terjedési módjai a hálózati és eltávolítható eszközökön található könyvtárak fertőzése. A rootkit olyan könyvtárakat fertőz meg, melyben találhatók alkalmazás fájlok (exe, dll, ocx, stb), és tömörített fájlok (pl. zip, rar). A könyvtárakba másolt rosszindulatú fájlokat fájlrendszer szinten igyekszik a kártevő eltüntetni (a Hidden, System, Read-Only kapcsolók beállításával).

A rootkit a terjedésre a "közkedvelt" Insecure Library Loading sebezhetőséget használja ki, az általa másolt fájl az LPK.DLL
Ennek valós párja megtalálható a %SystemROOT%\System32\ könyvtárban - azonban a DLL betöltési sor alapján a lokális könyvtárban keresi először a rendszer a betölthető fáljokat. Az LPK.DLL egy ablakkezeléssel kapcsolatos dinamikus függvénykönyvtár, ennek a helyét veszi át a rootkit LPK.DLL-je (mely betölti a valós fájlt is).

2012 Szeptember tizedikén a Kelet Virginiai Bíróság jóváhagyta hogy a Microsoft - többek között - átvegye a botnet egyik CC szerverének (3322.org) DNS hosztolását. A Microsoft saját DNS szerverének használata lehetővé tette, hogy a jogszerű tartalmak forgalmának átengedése mellett a Nitol botnetet és a 3322.org alatt található közel 70.000 rosszindulatú aloldalt elérhetetlenné tegye.