Nom:BDS/Newartm.B
La date de la découverte:05/09/2006
Type:Serveur porte dérobée
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:15.078 Octets
Somme de contrôle MD5:7736c8ef4cfa2cd7a19bf0d0d2375f5d
Version VDF:6.35.01.182
Version IVDF:6.35.01.186 - mercredi 6 septembre 2006

 Général L'alias:
   •  Bitdefender: Backdoor.Newartm.B


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effets secondaires:
   • Il crée un fichier malveillant
   • Il modifie des registres
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Les fichiers suivants sont créés:

– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contient des paramètres employé par le malware
– %ALLUSERSPROFILE%\Documents\Settings\artm_new.dll

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   artm_newreg
   • "DllName"="%ALLUSERSPROFILE%\Documents\Settings\artm_new.dll"
   • "Startup"="artm_newreg"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001

 Porte dérobée Le port suivant est ouvert:

%PROGRAM FILES%\Internet Explorer\iexplore.exe sur un port TCP aléatoire


Serveur de contact:
Tous les suivants:
   • http://msupdate.info/**********
   • http://msupdate.info/**********
   • http://msupdate.info/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Le statut courant du malware
    • Information sur le système d'exploitation Windows

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

   En cas de succès, le processus malware se termine pendent que la partie injectée reste active.

 Informations divers Connexion Internet:

Il interroge avec le nom:
   • microsoft.com

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Bogdan Iliuta le lundi 18 septembre 2006
Description mise à jour par Andrei Ivanes le vendredi 13 octobre 2006

Retour . . . .