Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Nymaim
General

El troyano nymaim está clasificado como downloader por Microsoft, se copia y se inyecta a si mismo dentro de otros procesos vitales del sistema (svchost.exe, explorer.exe, etc.) para sobrepasar el firewall y sistemas de antivirus. Además de esto envía información a servidores de control mediante mensajes HTTP POST con información cifrada.

MD5: 5a5770a8e1920aad5eb923aa43c2322d
SHA256: c65fff4ace5f9f55f61fa522dc307629018a8c23b60fc1d7a208e137692a3204
SHA1: 086435995e79afac46d2eb8bd541a0ceae06a003
Tamaño: 176.0 KB ( 180224 bytes ) 
Nombre: ldr.mcb
Tipo: Win32 EXE
Etiquetas: peexe 
Detecciones: 27 / 46
Fecha de análisis: 2013-01-30 03:03:24 UTC

Alias
AVG Generic31.AEJB
BitDefender Trojan.Generic.KDZ.5452
DrWeb Trojan.DownLoader7.63376
Microsoft Trojan:Win32/Nymaim.A
TrendMicro-HouseCall TROJ_GEN.R47H1AP

Al ejecutar el troyano se identifico la creación de tres archivos: el primero es una copia de si mismo llamada 1.tmp en la carpeta “C:\Documents and Settings\Administrador\Configuración local\temp”, así mismo se crean dos archivos en la carpeta “C:\WINDOWS\” con los nombres  xdfds.vmd y mrppw.pxa los cuales están cifrados.

 

A su vez también busca una dll llamada HIENESS_MINI_FONT.dll

 

Para asegurar su ejecución cada vez que se inicie el equipo se crea una llave en el registro con la ruta “C:\Documents and Settings\Administrador\Datos de programa” en la cual también existe una copia del archivo ldr.mcb

 

Se envían mensajes HTTP POST a una gran variedad de direcciones IP.

60.234.201.157
96.23.52.12
70.28.80.34
24.89.32.182
70.71.153.0
122.61.175.201
70.82.53.59
180.182.113.14
117.200.209.82
178.166.45.3
84.212.12.182
50.8.47.146
109.239.168.149
90.56.126.135
66.229.138.12
74.67.211.187
88.178.52.84
59.90.245.98
208.126.150.99
68.70.7.6

 

domain:        EVAMARO.RU
nserver:       ns1.askwhite.net.
nserver:       ns1.stockanddraw.net.
state:         REGISTERED, DELEGATED, UNVERIFIED
person:        Private Person
registrar:     REGRU-REG-RIPN
admin-contact: http://www.reg.ru/whois/admin_contact
created:       2013.01.16
paid-till:     2014.01.16
free-date:     2014.02.16
source:        TCI

 

Enlaces


TrojanDownloader:Win32/Nymaim.A

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos