English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Newartm.B
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Newartm.B - Backdoor Server
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
BDS/Newartm.B
Data em que surgiu:
05/09/2006
Tipo:
Servidor Backdoor
Incluído na lista "In The Wild"
Não
Nível de danos:
Baixo
Nível de distribuição:
Baixo
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
15.078 Bytes
MD5 checksum:
7736c8ef4cfa2cd7a19bf0d0d2375f5d
Versão VDF:
6.35.01.182
Versão IVDF:
6.35.01.186
Vulgarmente
Alias:
• Bitdefender: Backdoor.Newartm.B
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
Efeitos secundários:
• Descarrega um ficheiro malicioso
• Altera o registo do Windows
• Possibilita acesso não autorizado ao computador
Ficheiros
São criados os seguintes ficheiros:
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contém parâmetros utilizados pelo malware.
– %ALLUSERSPROFILE%\Documents\Settings\artm_new.dll
Registry (Registo do Windows)
É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:
– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
artm_newreg
• "DllName"="%ALLUSERSPROFILE%\Documents\Settings\artm_new.dll"
• "Startup"="artm_newreg"
• "Impersonate"=dword:00000001
• "Asynchronous"=dword:00000001
Backdoor
É aberta a seguinte porta:
–
%PROGRAM FILES%
\Internet Explorer\iexplore.exe numa porta TCP aleatória
Contacta o servidor:
Seguintes:
• http://msupdate.info/**********
• http://msupdate.info/**********
• http://msupdate.info/**********
Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.
Envia informação sobre:
• Situação actual de malware
• Informação sobre o sistema operativo Windows
Introdução de código viral noutros processos
– Introduz-se a si próprio num processo.
Nome do processo:
•
%PROGRAM FILES%
\Internet Explorer\iexplore.exe
Se concluir com êxito, o processo de malware termina enquanto a parte injetada permanece ativa.
Informações diversas
Ligação à internet:
Examina com o seguinte nome:
• microsoft.com
Detalhes do ficheiro
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.
Veja
aqui
uma breve descrição.
Descrição adicionada por Bogdan Iliuta em Mon, 18 Sep 2006 16:59 (GMT+1)
Descrição adicionada por Andrei Ivanes em Fri, 13 Oct 2006 16:11 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
W32/Elkern.C
Worm/Bagle.FJ
Worm/Mytob.DH
Worm/Netsky.D.Dam
Worm/Lovgate.W
Halifax 27
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info BDS/Newartm.B
Print this page
.gif)
