Nombre:BDS/Newartm.B
Descubierto:05/09/2006
Tipo:Servidor Backdoor
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:15.078 Bytes
Suma de control MD5:7736c8ef4cfa2cd7a19bf0d0d2375f5d
Versión del VDF:6.35.01.182
Versión del IVDF:6.35.01.186 - miércoles 6 de septiembre de 2006

 General Alias:
   •  Bitdefender: Backdoor.Newartm.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea los siguientes ficheros:

– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contiene parámetros empleados por el programa malicioso.
– %ALLUSERSPROFILE%\Documents\Settings\artm_new.dll

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   artm_newreg
   • "DllName"="%ALLUSERSPROFILE%\Documents\Settings\artm_new.dll"
   • "Startup"="artm_newreg"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%PROGRAM FILES%\Internet Explorer\iexplore.exe en un puerto TCP aleatorio


Servidor contactado:
Las siguientes:
   • http://msupdate.info/**********
   • http://msupdate.info/**********
   • http://msupdate.info/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral
    • Informaciones acerca del sistema operativo Windows

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Informaciones diversas Conexión a Internet:

Hace interrogaciones para el nombre:
   • microsoft.com

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Bogdan Iliuta el lunes 18 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el viernes 13 de octubre de 2006

Volver . . . .