elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Cifrar documentos-carpetas con GnuPG en Linux y Windows


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Troyano Nap
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Troyano Nap  (Leído 2,237 veces)
m0sh

Desconectado Desconectado

Mensajes: 13


Ver Perfil WWW
Troyano Nap
« en: 11 Febrero 2013, 20:16 »


Me interese en analizar este troyano después de leer un artículo de FireEye titulado “An Encounter with Trojan Nap”, donde se demuestra el uso de funciones como SleepEx para evadir los análisis de sistemas automatizados de malware, así mismo se identifica el uso de la técnica fast flux para ocultar la identidad de los atacantes y creadores del troyano y así mantener la Botnet activa.

Para este análisis utilice dos archivos de prueba diferentes con comportamientos similares:

newbos2.exe -> Detection ratio: 12 / 46 Analysis date: 2013-02-08
b1abd1279a28f22b86a15d6dafbc28a5.exe -> Detecciones: 28 / 45 Fecha de análisis: 2013-02-11


Al ejecutar los archivos se detecto la descarga y creación de nuevos archivos maliciosos, así como el envío masivo de SPAM.





MD5: a9001ce5563cfe725e24d9b8d9413b1a
Nombre: temp79.exe
Tipo: Win32 EXE
Detecciones: 10 / 45 Fecha de análisis: 2013-02-11

Algunas modificaciones en el registro:

Código:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonyAgent: "C:\WINDOWS\Temp\temp79.exe"

HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Sysinternals\Process Explorer\LanguageChangedCurrent:
"DNJybYC+X15qTzsRGK2M/xIQvh287t5Ly5hp6miAz2rP3Mhgy40rzXXrgMtRG4GsKA=="

Se puede observar la gran cantidad de conexiones TCP tanto a servidores Web como a servidores de correo electrónico.




Ejemplos de los correos electrónicos enviados (SPAM), como Message-ID se envía información de la maquina infectada:




Deteccion




Mas detalles: http://www.nyxbone.com/malware/nap.html


Salu2
En línea

www.NYXBONE.com
Twiter: @nyxbone
la_princesa

Desconectado Desconectado

Mensajes: 5



Ver Perfil WWW
Re: Troyano Nap
« Respuesta #1 en: 11 Febrero 2013, 23:49 »

interesante ;)
En línea

ahora es demasiado tarde princesa....

http://juegosvestirprincesas.wordpress.com
r32
Colaborador
***
Desconectado Desconectado

Mensajes: 819



Ver Perfil WWW
Re: Troyano Nap
« Respuesta #2 en: 14 Febrero 2013, 15:19 »

Muy bueno el análisis  ;-)
Me gustó el uso de Rootkit Unhooker, me parece una herramienta excelente.

Saludos.
En línea

m0sh

Desconectado Desconectado

Mensajes: 13


Ver Perfil WWW
Re: Troyano Nap
« Respuesta #3 en: 15 Febrero 2013, 20:14 »

Gracias por sus comentarios ;), efectivamente r32, es una herramienta muy buena, en realidad detecta muchas de las modificaciones realizadas por las nuevas amenazas.

aprovecho para comentar que la botnet aun esta activa, existe una gran cantidad de servidores en Rusia que aun la mantienen: http://blog.dynamoo.com/2013/02/malware-sites-to-block-13213.html


Saludos
En línea

www.NYXBONE.com
Twiter: @nyxbone
burbu_1

Desconectado Desconectado

Mensajes: 159


hamen gaoz


Ver Perfil
Re: Troyano Nap
« Respuesta #4 en: 17 Febrero 2013, 19:02 »

buenas, se agradecen mucho los análisis que publican últimamente,  ;-) ;-) ;-),
pero como crítica constructiva creo que estaría bien comentar la finalidad de los cambios en el registro, archivos.... 

repito que es con el fin de aprender y no de menospreciar el trabajo  ;D

por ejemplo, seguro que es el malware quien modifica esta clave?, me parece extraño, porque no todo el mundo (ni mucho menos) se ha descargado el processexplorer  :huh:


Código:
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Sysinternals\Process Explorer\LanguageChangedCurrent:
"DNJybYC+X15qTzsRGK2M/xIQvh287t5Ly5hp6miAz2rP3Mhgy40rzXXrgMtRG4GsKA=="
En línea

m0sh

Desconectado Desconectado

Mensajes: 13


Ver Perfil WWW
Re: Troyano Nap
« Respuesta #5 en: 19 Febrero 2013, 06:38 »


Si tienes razon burbu_1 en los analisis que realice esa fue una de las llaves que me llamo la atencion, sin embargo tiene un gran parecido con otra llave que cambia la pagina principal de Internet Explorer, asi que por eso la inclui:

Código:
HKU\S-1-5-21-1715567821-1275210071-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\UserPlayedActive:
"DIhnDzXVnPDA+DO4Z72Q5BeL4OTOAPYBa9ef262UWrJ7soV07MpOXsWicda8NBA0tg=="

Es posible que el troyano haya detectado el Process Explorer y quiera cambiar algunas caracteristicas.


Saludos
En línea

www.NYXBONE.com
Twiter: @nyxbone
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Troyano en el msn
Análisis y Diseño de Malware
Crack_X 2 1,435 Último mensaje 22 Febrero 2004, 17:38
por Crack_X
troyano en lan
Análisis y Diseño de Malware
cokete 5 1,961 Último mensaje 3 Abril 2004, 23:11
por oRTNZ
Troyano DSK
Análisis y Diseño de Malware
pepehonguito 0 674 Último mensaje 11 Abril 2004, 01:50
por pepehonguito
subir el server de un nuevo troyano desde el cliente de otro troyano. « 1 2 »
Análisis y Diseño de Malware
ebola_30 10 4,644 Último mensaje 27 Enero 2008, 00:56
por ebola_30
ejercicio troyano crear tu propio troyano "hack and crack"
Hacking Básico
chuchenager 5 8,289 Último mensaje 11 Marzo 2010, 05:01
por dantemc
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines