Artesimda.A
PeligrosidadDañoPropagación

Efectos 

Artesimda.A realiza las siguientes acciones:

• Tiene funcionalidades de rootkit para dificultar su detección.
• Crea una cuenta de usuario de Windows con las siguientes características:
  nombre de usuario: Adminestrator
  contraseña: Pass3488585
  
  
• Utiliza el archivo de Windows denominado SESSMGR.EXE, que es un servicio de administración remota, y la cuenta de usuario que ha creado para acceder remotamente al ordenador afectado.
• Intenta descargar un archivo en el sistema, que puede ser de cualquier naturaleza, incluyendo malware.
• Abre un puerto TCP aleatorio para utilizar el ordenador como servidor. De esta manera, podría enviar información u obtener el control remoto del ordenador.
• Monitoriza el tráfico de Internet generado y accede a los archivos en los que se almacena la información que el usuario introduzca en los formularios web.
• De esta manera, puede conseguir datos confidenciales, como nombres de usuario y contraseñas de cuentas bancarias y de cuentas de correo, entre otras.
• Obtiene información del ordenador, como por ejemplo dirección IP, nombre, área geográfica, puertos abiertos, etc.
• Después, envía la información a un determinado servidor.

Metodo de Infección 

Artesimda.A crea los siguientes archivos:

• 9129837.EXE, en el directorio de Windows. Este archivo es una copia del troyano.
• NEW_DRV.SYS, en la subcarpeta DRIVERS del directorio de sistema de Windows. Este archivo pertenece al rootkit Spyforms.H y se encarga de ocultar la copia del troyano.

Artesimda.A crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ new_drv
  Mediante esta entrada, Artesimda.A ejecuta el servicio perteneciente al rootkit cuando Windows se inicia.
• HKEY_USERS\ S-1-5-20\ Software\ Microsoft\ InetData

Artesimda.A modifica la siguiente entrada del Registro de Windows:

• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
  Start = 03, 00, 00, 00
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
  Start = 04, 00, 00, 00
  De esta manera, Artesimda.A deshabilita el cortafuegos de Windows XP.

Método de Propagación 

Artesimda.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

Artesimda.A tiene un tamaño de 62999 Bytes.