Me interese en analizar este troyano después de leer un artículo de FireEye titulado “An Encounter with Trojan Nap”, donde se demuestra el uso de funciones como SleepEx para evadir los análisis de sistemas automatizados de malware, así mismo se identifica el uso de la técnica fast flux para ocultar la identidad de los atacantes y creadores del troyano y así mantener la Botnet activa.

Para este análisis utilice dos archivos de prueba diferentes con comportamientos similares:

newbos2.exe -> Detection ratio: 12 / 46 Analysis date: 2013-02-08
b1abd1279a28f22b86a15d6dafbc28a5.exe -> Detecciones: 28 / 45 Fecha de análisis: 2013-02-11


Al ejecutar los archivos se detecto la descarga y creación de nuevos archivos maliciosos, así como el envío masivo de SPAM.





MD5: a9001ce5563cfe725e24d9b8d9413b1a
Nombre: temp79.exe
Tipo: Win32 EXE
Detecciones: 10 / 45 Fecha de análisis: 2013-02-11

Algunas modificaciones en el registro:


Se puede observar la gran cantidad de conexiones TCP tanto a servidores Web como a servidores de correo electrónico.




Ejemplos de los correos electrónicos enviados (SPAM), como Message-ID se envía información de la maquina infectada:




Deteccion




Mas detalles: http://www.nyxbone.com/malware/nap.html


Salu2

Muy bueno el análisis 
Me gustó el uso de Rootkit Unhooker, me parece una herramienta excelente.

Saludos.

buenas, se agradecen mucho los análisis que publican últimamente,  ,
pero como crítica constructiva creo que estaría bien comentar la finalidad de los cambios en el registro, archivos.... 

repito que es con el fin de aprender y no de menospreciar el trabajo 

por ejemplo, seguro que es el malware quien modifica esta clave?, me parece extraño, porque no todo el mundo (ni mucho menos) se ha descargado el processexplorer