Nome del virus:BDS/Newartm.B
Scoperto:05/09/2006
Tipo:Backdoor Server
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:15.078 Byte
Somma di controllo MD5:7736c8ef4cfa2cd7a19bf0d0d2375f5d
Versione VDF:6.35.01.182
Versione IVDF:6.35.01.186 - mercoledì 6 settembre 2006

 Generale Alias:
   •  Bitdefender: Backdoor.Newartm.B


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Effetti secondari:
   • Clona un file “maligno”
   • Modifica del registro
   • Accesso e controllo del computer da parte di terzi

 File Vengono creati i seguenti file:

– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contiene parametri utilizzati dal malware.
– %ALLUSERSPROFILE%\Documents\Settings\artm_new.dll

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   artm_newreg
   • "DllName"="%ALLUSERSPROFILE%\Documents\Settings\artm_new.dll"
   • "Startup"="artm_newreg"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001

 Backdoor Viene aperta la seguente porta:

%PROGRAM FILES%\Internet Explorer\iexplore.exe su una porta TCP casuale


Contatta il server:
Tutti i seguenti:
   • http://msupdate.info/**********
   • http://msupdate.info/**********
   • http://msupdate.info/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Stato corrente del malware
    • Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

   Se riuscito, il processo malware viene terminato mentre la parte inserita rimane attiva.

 Varie Collegamento a internet:

Interroga con il nome:
   • microsoft.com

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Bogdan Iliuta su lunedì 18 settembre 2006
Descrizione aggiornata da Andrei Ivanes su venerdì 13 ottobre 2006

Indietro . . . .