Nume:TR/Katar.417052
Descoperit pe data de:30/06/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:417.052 Bytes
MD5:519342b1fa03d41984c2340cea2f430b
Versiune IVDF:7.10.08.233 - Wednesday, June 30, 2010

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Mcafee: Generic Malware.bj trojan
   •  Panda: W32/Sohanat.KS
   •  Eset: Win32/AutoRun.Autoit.BJ
   •  Bitdefender: Trojan.AutoIT.AHQ


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\My Documents\My Pictures\My Pictures.exe
   • %WINDIR%\Xplorer.exe
   • %HOME%\My Documents\My Music\My Music.exe
   • %HOME%\My Documents\My Music.exe
   • %TEMPDIR%\Nature.scr
   • %unitate disc%\KHATRA.exe
   • %TEMPDIR%\download.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\KHATRA.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\Administrator.exe
   • %TEMPDIR%\Hacker.exe
   • %SYSDIR%\gHost.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\New Folder(3).exe
   • %TEMPDIR%\Administrator.scr
   • %SYSDIR%\KHATRA.exe
   • %TEMPDIR%\fhset267.exe
   • %TEMPDIR%\bikini02.scr
   • %TEMPDIR%\dmario.exe
   • %TEMPDIR%\kavSetup.exe
   • %HOME%\My Documents\My Pictures.exe
   • %WINDIR%\KHATARNAKH.exe
   • %TEMPDIR%\slideshow.exe
   • %TEMPDIR%\clean.exe



Sterge copia initiala a virusului.



Sterge urmatoarele fisiere:
   • %TEMPDIR%\cab7
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini
   • %HOME%\Start Menu\Programs\Startup\desktop.ini
   • %TEMPDIR%\cab9
   • %TEMPDIR%\kma58507.tmp
   • %TEMPDIR%\cab2
   • %TEMPDIR%\kma23069.tmp
   • %TEMPDIR%\cab6
   • %TEMPDIR%\cab5
   • %TEMPDIR%\cab4
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\kma93906.tmp
   • %TEMPDIR%\kma47137.tmp
   • %TEMPDIR%\cab11
   • %TEMPDIR%\cab10
   • %TEMPDIR%\kma18334.tmp
   • %TEMPDIR%\kma70143.tmp
   • %TEMPDIR%\cab8
   • %TEMPDIR%\kma21642.tmp
   • %TEMPDIR%\kma33907.tmp
   • %TEMPDIR%\cab3
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\kma12467.tmp
   • %TEMPDIR%\kma78450.tmp



Sunt create fisierele:

– %WINDIR%\inf\Autoplay.inF Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\(Empty).LNK Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

%unitate disc%\Autorun.inf Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • %cod care ruleaza fisierul malitios%

– %TEMPDIR%\cab9
– %TEMPDIR%\cab3
– %WINDIR%\mario675.cab
– %TEMPDIR%\kma12467.tmp
– %WINDIR%\New WinZip File.cab
– %WINDIR%\CyberWar.cab
– %WINDIR%\supermodels.cab
– %TEMPDIR%\cab11
– %TEMPDIR%\cab10
– %TEMPDIR%\kma70143.tmp
– %WINDIR%\new-screamsaver.com.cab
– %TEMPDIR%\kma23069.tmp
– %WINDIR%\fh_antivirussetup6534.cab
– %WINDIR%\K.Backup\C_Drive_Documents and Settings_All Users_Start Menu_Programs_Startup_desktop.ini.FUCKED
– %WINDIR%\K.Backup\C_Drive_Documents and Settings_Administrator_Start Menu_Programs_Startup_desktop.ini.FUCKED
– %TEMPDIR%\kma18334.tmp
– %TEMPDIR%\kma93906.tmp
– %TEMPDIR%\kma47137.tmp
– %TEMPDIR%\kma33907.tmp
– %TEMPDIR%\aut1.tmp
– %TEMPDIR%\kma58507.tmp
– %WINDIR%\New WinRAR archive.cab
– %WINDIR%\kavSetupEng3857.cab
– %TEMPDIR%\aut2.tmp
– %TEMPDIR%\kma21642.tmp
– %WINDIR%\Youtube.cab
– %TEMPDIR%\kma78450.tmp
– %TEMPDIR%\cab2 Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Katar.417052

– %TEMPDIR%\cab7
– %TEMPDIR%\cab6
– %TEMPDIR%\cab5
– %TEMPDIR%\cab4 Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Katar.417052

– %TEMPDIR%\cab8
– %WINDIR%\New WinRAR ZIP archive.cab



Incearca sa execute urmatoarele fisiere:

– Numele fisierului:
   • %SYSDIR%\KHATRA.exe


– Numele fisierului:
   • netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Numele fisierului:
   • "%WINDIR%\Xplorer.exe" /Windows


– Numele fisierului:
   • MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Numele fisierului:
   • MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Numele fisierului:
   • "%SYSDIR%\gHost.exe" /Reproduce


– Numele fisierului:
   • MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Numele fisierului:
   • AT /delete /yes


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Numele fisierului:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C RegSvr32 /S %SYSDIR%\avphost.dll


– Numele fisierului:
   • RegSvr32 /S %SYSDIR%\avphost.dll


– Numele fisierului:
   • %SYSDIR%\cmd.exe /C netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%SYSDIR%\KHATRA.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"



Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\KHATRA.exe"="%SYSDIR%\KHATRA.exe:*:Enabled:System"



Urmatoarele chei sunt adaugate in registrii sistemului:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"="Internet Exploiter"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Nico Mak Computing\WinZip\caution]
   • "NoUnsafeTypeCautionForEXE"="1"
   • "NoUnsafeTypeCautionForSCR"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKLM\SOFTWARE\KHATRA\Startup_List]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoControlPanel"=dword:0x00000001



Urmatoarele chei din registri sunt modificate:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Noua valoare:
   • "Hidden"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage]
   Noua valoare:
   • "Start"=dword:0x00000004

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Noua valoare:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   Noua valoare:
   • "Start"=dword:0x00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Noua valoare:
   • "%setarile utilizatorului%"="%WINDIR%\Xplorer.exe"
   • "%setarile utilizatorului%" = "%WINDIR%\Xplorer.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   Noua valoare:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Noua valoare:
   • "Load"="%SYSDIR%\KHATRA.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\upnphost]
   Noua valoare:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Noua valoare:
   • "NoDriveTypeAutoRun"=dword:0x000000ff

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Friday, July 9, 2010
Description updated by Petre Galan on Friday, July 9, 2010

Back . . . .