微軟安全研究員從中國不同城市購買了20臺計算機，10臺筆記本10臺臺式機。在仔細檢查之后，他們從一臺預裝盜版WinXP SP3的筆記本上發(fā)現(xiàn)了惡意程序Nitol，還有3臺分別感染了Trafog、EggDrop和Malat。只有感染Nitol的計算機在不停的嘗試連接一個命令控制服務器，于是微軟對此展開了跟蹤研究，揭開了一個龐大的僵尸網(wǎng)絡(luò)，這一行動被稱為“Operation b70” （PDF）。

微軟發(fā)現(xiàn)，Nitol能通過可移除儲存媒介和網(wǎng)絡(luò)共享傳播，它的文件名叫LPK.DLL——所有應用程序都需要載入的DLL文件，因此非常便于傳播。

它有多個變種，變種A主要在中國流傳，每個變種都硬編碼一個命令控制服務器域名，感染最集中地區(qū)是廣東、北京、上海和臺北，主要控制命令服務器都位于中國，85.53%的病毒分析樣本連接的是中國的服務器，53.33%的病毒樣本連接3322.org下的子域名以獲取控制命令服務器IP地址。

微軟向美國地區(qū)法院申請限制令，獲得了法院發(fā)布臨時限制令，控制了3322.org域名，關(guān)閉了 Nitol僵尸網(wǎng)絡(luò)。微軟警告，購買盜版系統(tǒng)是有風險的。