国家计算机病毒应急处理中心通过对互联网的监测，发现名为“Novter”的新型僵尸网络，该僵尸网络采用无文件技术，隐蔽性较强，主要通过广告流量欺诈获利。其传播攻击活动起始�?019�?月，主要受害者分布在美国和欧洲地区，并仍然在不断向更多地区传播扩散。经溯源分析，该僵尸网络可能是由KovCoreG僵尸网络的运营者开发和运营的�

攻击者主要利用钓鱼网站，以Adobe Flash播放器安装包为诱饵，利用社会工程学欺骗用户下载安装。用户下载恶意安装包后，会下载执行恶意HTA程序，进而从远程服务器下载被加密处理的恶意的PowerShell脚本代码（基于开源项目“Invoke-PSInject”）。该恶意脚本能够利用CMSTPLUA COM接口绕过Windows UAC保护机制，并关闭Windows Defender防护软件和Windows Update更新程序。同时，该恶意脚本还会在内存中释放执行Novter后门程序，能够根据攻击者的指令实现进程操作、文件操作、自更新等恶意功能，并具有较强的对抗沙箱等自动化分析能力。Novter采用了模块化结构，具有三个主要的功能模块，功能分别如下：�?）显示虚假的技术支持页面以欺骗受害用户；（2）滥用WinDivert网络数据包分析工具，拦截杀毒软件的网络通信；（3）使用NodeJS和io模块开发的代理服务器模块“Nodster”，实现代理服务器网络，为实施流量欺诈创造条件�

值得注意的是，攻击者为了掩盖其流量欺诈行为，故意将产生虚假网络点击的客户端伪造成Android设备，以干扰检测和分析�