Me interese en analizar este troyano después de leer un artículo de FireEye titulado "An Encounter with Trojan Nap", donde se demuestra el uso de funciones como SleepEx para evadir los análisis de sistemas automatizados de malware, así mismo se identifica el uso de la técnica fast flux para ocultar la identidad de los atacantes y creadores del troyano y así mantener la Botnet activa.
Para este análisis utilice dos archivos de prueba diferentes con comportamientos similares:
newbos2.exe -> Detection ratio: 12 / 46 Analysis date: 2013-02-08
b1abd1279a28f22b86a15d6dafbc28a5.exe -> Detecciones: 28 / 45 Fecha de análisis: 2013-02-11
Al ejecutar los archivos se detecto la descarga y creación de nuevos archivos maliciosos, así como el envío masivo de SPAM.
(http://www.nyxbone.com/images/articulos/malware/nap/1.png)
(http://www.nyxbone.com/images/articulos/malware/nap/2.png)
MD5: a9001ce5563cfe725e24d9b8d9413b1a
Nombre: temp79.exe
Tipo: Win32 EXE
Detecciones: 10 / 45 Fecha de análisis: 2013-02-11
Algunas modificaciones en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonyAgent: "C:\WINDOWS\Temp\temp79.exe"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Sysinternals\Process Explorer\LanguageChangedCurrent:
"DNJybYC+X15qTzsRGK2M/xIQvh287t5Ly5hp6miAz2rP3Mhgy40rzXXrgMtRG4GsKA=="
Se puede observar la gran cantidad de conexiones TCP tanto a servidores Web como a servidores de correo electrónico.
(http://www.nyxbone.com/images/articulos/malware/nap/4.png)
Ejemplos de los correos electrónicos enviados (SPAM), como Message-ID se envía información de la maquina infectada:
(http://www.nyxbone.com/images/articulos/malware/nap/5.png)
Deteccion
(http://www.nyxbone.com/images/articulos/malware/nap/8.png)
Mas detalles: http://www.nyxbone.com/malware/nap.html (http://www.nyxbone.com/malware/nap.html)
Salu2
interesante ;)
Muy bueno el análisis ;-)
Me gustó el uso de Rootkit Unhooker, me parece una herramienta excelente.
Saludos.
Gracias por sus comentarios ;), efectivamente r32, es una herramienta muy buena, en realidad detecta muchas de las modificaciones realizadas por las nuevas amenazas.
aprovecho para comentar que la botnet aun esta activa, existe una gran cantidad de servidores en Rusia que aun la mantienen: http://blog.dynamoo.com/2013/02/malware-sites-to-block-13213.html
Saludos
buenas, se agradecen mucho los análisis que publican últimamente, ;-) ;-) ;-),
pero como crítica constructiva creo que estaría bien comentar la finalidad de los cambios en el registro, archivos....
repito que es con el fin de aprender y no de menospreciar el trabajo ;D
por ejemplo, seguro que es el malware quien modifica esta clave?, me parece extraño, porque no todo el mundo (ni mucho menos) se ha descargado el processexplorer :huh:
Cita de: m0sh en 11 Febrero 2013, 20:16 PM
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Sysinternals\Process Explorer\LanguageChangedCurrent:
"DNJybYC+X15qTzsRGK2M/xIQvh287t5Ly5hp6miAz2rP3Mhgy40rzXXrgMtRG4GsKA=="
Si tienes razon burbu_1 en los analisis que realice esa fue una de las llaves que me llamo la atencion, sin embargo tiene un gran parecido con otra llave que cambia la pagina principal de Internet Explorer, asi que por eso la inclui:
HKU\S-1-5-21-1715567821-1275210071-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\UserPlayedActive:
"DIhnDzXVnPDA+DO4Z72Q5BeL4OTOAPYBa9ef262UWrJ7soV07MpOXsWicda8NBA0tg=="
Es posible que el troyano haya detectado el Process Explorer y quiera cambiar algunas caracteristicas.
Saludos