Análisis realizado por : Anthony Joe Melgarejo   

 Alias

JS/TrojanDownloader.Nemucod.BZ trojan (ESET), JS/Downloader.Agent (AVG), JS/Nemucod.N!Eldorado (F-PROT)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Accede a sitios Web para descargar archivos. Esta acción permite que el malware agregue otro tipo de malware en el equipo afectado. Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

  Detalles técnicos

Tamaño del archivo 8,965 bytes
Tipo de archivo JS
Fecha de recepción de las muestras iniciales 30 noviembre 2015

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Instalación

Infiltra los archivos siguientes:

  • %User Temp%\atr{random numbers 1}tty.js

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Rutina de descarga

Accede a sitios Web para descargar los archivos siguientes:

  • %User Temp%\{8 Random numbers}.dll
  • %User Temp%\{8 Random numbers}.pdf

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.