Me interese en analizar este troyano después de leer un artículo de FireEye titulado “An Encounter with Trojan Nap”, donde se demuestra el uso de funciones como SleepEx de la Kernel32.dll para evadir los análisis de sistemas automatizados de malware, así mismo se identifica el uso de la técnica fast flux para ocultar la identidad de los atacantes y creadores del troyano y así mantener la Botnet activa.

Para este análisis utilice dos archivos de prueba diferentes con comportamientos similares:

newbos2.exe -> Ver strings
b1abd1279a28f22b86a15d6dafbc28a5.exe gracias a Mila (Contagio) -> Ver strings

Información de los archivos

MD5: b3c0c55196b37b0fa96948b96c1ff4bd
SHA256: 59a7512339c59b4cdb6e6a64efbd9f0b16c9bbfdd91aa2b18bb671e928770aea
SHA1: b2574aea010858df11067394728ef67488e4b0d2
File size: 767.5 KB ( 785920 bytes )
File name: newbos2.exe
File type: Win32 EXE
Detection ratio: 12 / 46
Analysis date: 2013-02-08 16:12:17 UTC

MD5: b1abd1279a28f22b86a15d6dafbc28a5
SHA256: 0d6386e57b25b9228e8c5df913410e3162daebb0037fe74011f5e021b4f218ee
SHA1: 19a19e398b9a693d8640e497f4ba8bead55f885d
Tamaño: 37.0 KB ( 37888 bytes ) 
Nombre: 6kqEpSPDu8SCn
Tipo: Win32 EXE
Detecciones: 28 / 45
Fecha de análisis: 2013-02-11 06:04:25 UTC

Al ejecutar los archivos se detecto la descarga y creación de nuevos archivos maliciosos, así como el envío masivo de SPAM.

MD5: a9001ce5563cfe725e24d9b8d9413b1a
SHA256: 4995dc0bebe4c6650dc165ea9ec31b229c57a5ffe32d833046c537fabd7c7aee
SHA1: 5e97bd098b690ca4a0c0d90d03257a6b28742268
Tamaño: 768.5 KB ( 786944 bytes ) 
Nombre: temp79.exe
Tipo: Win32 EXE
Detecciones: 10 / 45
Fecha de análisis: 2013-02-11 05:55:30 UTC

BitDefender Trojan.Generic.KDZ.7696
ESET-NOD32 a variant of Win32/Kryptik.AUBI
F-Secure Trojan.Generic.KDZ.7696
Fortinet W32/Tepfer.PSU!tr
GData Trojan.Generic.KDZ.7696
Ikarus Trojan-PWS.Win32.Tepfer
Malwarebytes Malware.Packer.SGX1
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.E
MicroWorld-eScan Trojan.Generic.KDZ.7696
SUPERAntiSpyware Trojan.Agent/Gen-RogueRel

newbos2.exe

Ver archivo completo

HKU\S-1-5-21-483117027-1912128701-2174859740-1000\Software\Microsoft\Windows\CurrentVersion\ime\IMTC70\ThemeUpdatedValid: "DEzY5xWbGm6Dj3JDYJYLTZTUUkdYXjMnZa6L6wa2wZhvijhydrd0lFDmdggUvaHOvg=="

HKU\S-1-5-21-483117027-1912128701-2174859740-1000\Software\Microsoft\Windows\CurrentVersion\Run\SonyAgent: "C:\Users\Mosh\Documents\malware\newbos2.exe"

b1abd1279a28f22b86a15d6dafbc28a5.exe

Ver archivo completo

----------------------------------
Keys deleted:1
----------------------------------
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012012121720121218

----------------------------------
Values added:27
----------------------------------
HKLM\SOFTWARE\Microsoft\ESENT\Process\B1ABD1279A28F22B86A15D6DAFBC28A5\DEBUG\Trace Level: ""

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SonyAgent: "C:\WINDOWS\Temp\temp79.exe"

HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Sysinternals\Process Explorer\LanguageChangedCurrent: "DNJybYC+X15qTzsRGK2M/xIQvh287t5Ly5hp6miAz2rP3Mhgy40rzXXrgMtRG4GsKA=="

Se puede observar la gran cantidad de conexiones TCP tanto a servidores Web como a servidores de correo electrónico.

Descargar archivo pcap

Ejemplos de los correos electrónicos enviados (SPAM), como Message-ID se envía información de la maquina infectada:

Las siguientes imágenes son tomadas de una investigación realizada por deependresearch a este mismo troyano donde se encontró que después 6 horas de que una maquina fue infectada se realizaron más de 1550 conexiones con diferentes servidores alrededor del mundo.

USA

EUROPA

An Encounter with Trojan Nap
Backdoor:Win32/Kelihos.F
Trojan Nap aka Kelihos/Hlux - Feb. 2013 Status Update