Nemucod là tên là Trojan phát hiện hồi tháng 3/2015 và xếp loại “Malware Downloader” . Mục đích của Nemucod là làm thế nào nhẹ nhất có thể để tránh gây sự chú ý rồi lây nhiễm vào máy tính , sau đó tải những thành phần khác có tiềm năng gây độc hại hơn .

Những mã độc như kiểu Nemucod có mặt ở khắp mọi nơi , và bạn ít thấy những mã độc phức tạp như Trojan “cửa sau” , Trojan ngân hàng hoặc mã độc đòi tiền chuộc lây nhiễm trực tiếp tới máy tính . Trong những tháng qua hoạt động của Nemucod rất đơn giản . Khi người dùng  mở file độc hại họ sẽ bị lây nhiễm Nemucod , sau đó nó sẽ tải thành phần độc hại khác rồi thực hiện trực tiếp .

Tuy nhiên ESET cho biết hầu hết các công cụ chống Virus đều phát hiện ra cách thức hoạt động của nó . Trong những phiên bản mới đây , Nemucod đã dùng phương thức 7 bước để cuối cùng mới tải thành phần độc hại chính , có thể là Cerber , Locky …

Bước đầu tiên , Nemucod chọn phương pháp thông qua kết nối tới những máy chủ CnC của nó có chứa giai đoạn thứ hai có nhiều tiềm năng độc hại hơn . Trước kia Nemucod dùng một phương pháp duy nhất để kết nối trực tuyến . Bây giờ nó dùng với vài bước , do đó nếu bước đầu tiên bị chặn bởi “tường lửa” thì nó dùng cách khác để tìm tới vị trí tải về của nó .

Bước thứ hai Nemucod chọn một trong những trang tải về ngẫu nhiên từ một danh sách URL . Trước kia nó chỉ có một địa chỉ URL duy nhất nên rất dễ bị thất bại

Trong bước thứ ba , Nemucod tải “payload” , và bây giờ mới thực sự rối rắm , và không chỉ là một file EXE đơn giản . Bước bốn là file “rối rắm” thứ hai , bước 5 kiểm tra sự hợp lệ của file được tải về . Nếu kiểm tra thất bại nó quay trở lại bước thứ hai để chọn vị trí tải về khác .

Bước 6 là file linh tinh thứ ba . Bước 7 là giai đoạn thực thi cuối cùng và nó cũng được biến đổi để tránh bị phát hiện . Trong những phiên bản trước , Nemucod chạy file trực tiếp còn bây giờ nó tại thành file “Batch” và chạy file này có chứa những mệnh lệnh để bắt đầu tải mã độc giai đoạn hai .

ESET cho biết “ Như bạn đã thấy , tác giả Nemucod đã bận rộn cải tiến công cụ tải về của mình để khi tải những file độc hại của nó mà không bị phát hiện . Tất cả những thủ thuật trên cho thấy tin tặc đã có những nỗ lực rất lớn để nâng cao tỉ lệ thành công lây nhiễm trong môi trường doanh nghiệp mà ở đó những máy chủ Proxy , gateway UTM có thể chạy những việc tải file tình nghi là độc hại “.