VírusBDS/Newartm.B
Data em que surgiu:05/09/2006
Tipo:Servidor Backdoor
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:15.078 Bytes
MD5 checksum:7736c8ef4cfa2cd7a19bf0d0d2375f5d
Versão VDF:6.35.01.182
Versão IVDF:6.35.01.186 - quarta-feira, 6 de setembro de 2006

 Vulgarmente Alias:
   •  Bitdefender: Backdoor.Newartm.B


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Altera o registo do Windows
   • Possibilita acesso não autorizado ao computador

 Ficheiros São criados os seguintes ficheiros:

– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contém parâmetros utilizados pelo malware.
– %ALLUSERSPROFILE%\Documents\Settings\artm_new.dll

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   artm_newreg
   • "DllName"="%ALLUSERSPROFILE%\Documents\Settings\artm_new.dll"
   • "Startup"="artm_newreg"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001

 Backdoor É aberta a seguinte porta:

%PROGRAM FILES%\Internet Explorer\iexplore.exe numa porta TCP aleatória


Contacta o servidor:
Seguintes:
   • http://msupdate.info/**********
   • http://msupdate.info/**********
   • http://msupdate.info/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Situação actual de malware
    • Informação sobre o sistema operativo Windows

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

   Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.

 Informações diversas Ligação à internet:

Examina com o seguinte nome:
   • microsoft.com

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Bogdan Iliuta em segunda-feira, 18 de setembro de 2006
Descrição atualizada por Andrei Ivanes em sexta-feira, 13 de outubro de 2006

Voltar . . . .