Me interese en analizar este troyano después de leer un artículo de FireEye titulado “An Encounter with Trojan Nap”, donde se demuestra el uso de funciones como SleepEx para evadir los análisis de sistemas automatizados de malware, así mismo se identifica el uso de la técnica fast flux para ocultar la identidad de los atacantes y creadores del troyano y así mantener la Botnet activa.
Para este análisis utilice dos archivos de prueba diferentes con comportamientos similares:
newbos2.exe -> Detection ratio: 12 / 46 Analysis date: 2013-02-08
b1abd1279a28f22b86a15d6dafbc28a5.exe -> Detecciones: 28 / 45 Fecha de análisis: 2013-02-11
Al ejecutar los archivos se detecto la descarga y creación de nuevos archivos maliciosos, así como el envío masivo de SPAM.
MD5: a9001ce5563cfe725e24d9b8d9413b1a
Nombre: temp79.exe
Tipo: Win32 EXE
Detecciones: 10 / 45 Fecha de análisis: 2013-02-11
Algunas modificaciones en el registro:
Código:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonyAgent: "C:\WINDOWS\Temp\temp79.exe"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Sysinternals\Process Explorer\LanguageChangedCurrent:
"DNJybYC+X15qTzsRGK2M/xIQvh287t5Ly5hp6miAz2rP3Mhgy40rzXXrgMtRG4GsKA=="
Se puede observar la gran cantidad de conexiones TCP tanto a servidores Web como a servidores de correo electrónico.
Ejemplos de los correos electrónicos enviados (SPAM), como Message-ID se envía información de la maquina infectada:
Deteccion
Mas detalles: http://www.nyxbone.com/malware/nap.html
Salu2