Name:BDS/Newartm.B
Entdeckt am:05/09/2006
Art:Backdoor Server
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:15.078 Bytes
MD5 Prüfsumme:7736c8ef4cfa2cd7a19bf0d0d2375f5d
VDF Version:6.35.01.182
IVDF Version:6.35.01.186 - Mittwoch, 6. September 2006

 General Alias:
   •  Bitdefender: Backdoor.Newartm.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es werden folgende Dateien erstellt:

– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Enthält von der Malware genutzte Parameter.
– %ALLUSERSPROFILE%\Documents\Settings\artm_new.dll

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   artm_newreg
   • "DllName"="%ALLUSERSPROFILE%\Documents\Settings\artm_new.dll"
   • "Startup"="artm_newreg"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001

 Hintertür Der folgende Port wird geöffnet:

%PROGRAM FILES%\Internet Explorer\iexplore.exe an einem zufälligen TCP port


Kontaktiert Server:
Alle der folgenden:
   • http://msupdate.info/**********
   • http://msupdate.info/**********
   • http://msupdate.info/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Aktueller Malware Status
    • Information über das Windows Betriebsystem

 Injektion – Es injiziert sich in einen Prozess.

    Prozessname:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

   War dies erfolgreich so beendet sich der Prozess der Malware wobei der injizierte Teil aktiv bleibt.

 Diverses Internetverbindung:

Eine Namensabfrage mit folgender Domain wird durchgeführt:
   • microsoft.com

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Bogdan Iliuta am Montag, 18. September 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Freitag, 13. Oktober 2006

zurück . . . .