¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Katar.417052
Descubierto:30/06/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:417.052 Bytes
Suma de control MD5:519342b1fa03d41984c2340cea2f430b
Versin del IVDF:7.10.08.233 - miércoles 30 de junio de 2010

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Mcafee: Generic Malware.bj trojan
   •  Panda: W32/Sohanat.KS
   •  Eset: Win32/AutoRun.Autoit.BJ
   •  Bitdefender: Trojan.AutoIT.AHQ


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %HOME%\My Documents\My Pictures\My Pictures.exe
   • %WINDIR%\Xplorer.exe
   • %HOME%\My Documents\My Music\My Music.exe
   • %HOME%\My Documents\My Music.exe
   • %TEMPDIR%\Nature.scr
   • (es)\KHATRA.exe
   • %TEMPDIR%\download.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\KHATRA.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\Administrator.exe
   • %TEMPDIR%\Hacker.exe
   • %SYSDIR%\gHost.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\New Folder(3).exe
   • %TEMPDIR%\Administrator.scr
   • %SYSDIR%\KHATRA.exe
   • %TEMPDIR%\fhset267.exe
   • %TEMPDIR%\bikini02.scr
   • %TEMPDIR%\dmario.exe
   • %TEMPDIR%\kavSetup.exe
   • %HOME%\My Documents\My Pictures.exe
   • %WINDIR%\KHATARNAKH.exe
   • %TEMPDIR%\slideshow.exe
   • %TEMPDIR%\clean.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %TEMPDIR%\cab7
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini
   • %HOME%\Start Menu\Programs\Startup\desktop.ini
   • %TEMPDIR%\cab9
   • %TEMPDIR%\kma58507.tmp
   • %TEMPDIR%\cab2
   • %TEMPDIR%\kma23069.tmp
   • %TEMPDIR%\cab6
   • %TEMPDIR%\cab5
   • %TEMPDIR%\cab4
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\kma93906.tmp
   • %TEMPDIR%\kma47137.tmp
   • %TEMPDIR%\cab11
   • %TEMPDIR%\cab10
   • %TEMPDIR%\kma18334.tmp
   • %TEMPDIR%\kma70143.tmp
   • %TEMPDIR%\cab8
   • %TEMPDIR%\kma21642.tmp
   • %TEMPDIR%\kma33907.tmp
   • %TEMPDIR%\cab3
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\kma12467.tmp
   • %TEMPDIR%\kma78450.tmp



Crea los siguientes ficheros:

%WINDIR%\inf\Autoplay.inF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

%HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

%ALLUSERSPROFILE%\Start Menu\Programs\Startup\(Empty).LNK Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

(es)\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

%TEMPDIR%\cab9
%TEMPDIR%\cab3
%WINDIR%\mario675.cab
%TEMPDIR%\kma12467.tmp
%WINDIR%\New WinZip File.cab
%WINDIR%\CyberWar.cab
%WINDIR%\supermodels.cab
%TEMPDIR%\cab11
%TEMPDIR%\cab10
%TEMPDIR%\kma70143.tmp
%WINDIR%\new-screamsaver.com.cab
%TEMPDIR%\kma23069.tmp
%WINDIR%\fh_antivirussetup6534.cab
%WINDIR%\K.Backup\C_Drive_Documents and Settings_All Users_Start Menu_Programs_Startup_desktop.ini.FUCKED
%WINDIR%\K.Backup\C_Drive_Documents and Settings_Administrator_Start Menu_Programs_Startup_desktop.ini.FUCKED
%TEMPDIR%\kma18334.tmp
%TEMPDIR%\kma93906.tmp
%TEMPDIR%\kma47137.tmp
%TEMPDIR%\kma33907.tmp
%TEMPDIR%\aut1.tmp
%TEMPDIR%\kma58507.tmp
%WINDIR%\New WinRAR archive.cab
%WINDIR%\kavSetupEng3857.cab
%TEMPDIR%\aut2.tmp
%TEMPDIR%\kma21642.tmp
%WINDIR%\Youtube.cab
%TEMPDIR%\kma78450.tmp
%TEMPDIR%\cab2 Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Katar.417052

%TEMPDIR%\cab7
%TEMPDIR%\cab6
%TEMPDIR%\cab5
%TEMPDIR%\cab4 Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Katar.417052

%TEMPDIR%\cab8
%WINDIR%\New WinRAR ZIP archive.cab



Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\KHATRA.exe


Ejecuta uno de los ficheros siguientes:
   • netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\Xplorer.exe" /Windows


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\gHost.exe" /Reproduce


Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


Ejecuta uno de los ficheros siguientes:
   • AT /delete /yes


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


Ejecuta uno de los ficheros siguientes:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C RegSvr32 /S %SYSDIR%\avphost.dll


Ejecuta uno de los ficheros siguientes:
   • RegSvr32 /S %SYSDIR%\avphost.dll


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%SYSDIR%\KHATRA.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\KHATRA.exe"="%SYSDIR%\KHATRA.exe:*:Enabled:System"



Aade las siguientes claves al registro:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"="Internet Exploiter"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001

[HKCU\Software\Nico Mak Computing\WinZip\caution]
   • "NoUnsafeTypeCautionForEXE"="1"
   • "NoUnsafeTypeCautionForSCR"="1"

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

[HKLM\SOFTWARE\KHATRA\Startup_List]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoControlPanel"=dword:0x00000001



Modifica las siguientes claves del registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000000

[HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage]
   Nuevo valor:
   • "Start"=dword:0x00000004

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000000

[HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   Nuevo valor:
   • "Start"=dword:0x00000002

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Nuevo valor:
   • "%configuracin definida por el usuario%"="%WINDIR%\Xplorer.exe"
   • "%configuracin definida por el usuario%" = "%WINDIR%\Xplorer.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   Nuevo valor:
   • "Start"=dword:0x00000002

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuevo valor:
   • "Load"="%SYSDIR%\KHATRA.exe"

[HKLM\SYSTEM\CurrentControlSet\Services\upnphost]
   Nuevo valor:
   • "Start"=dword:0x00000002

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NoDriveTypeAutoRun"=dword:0x000000ff

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el viernes 9 de julio de 2010
Descripción actualizada por Petre Galan el viernes 9 de julio de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.