Descripción completa

Nombre:	TR/Katar.417052
Descubierto:	30/06/2010
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	417.052 Bytes
Suma de control MD5:	519342b1fa03d41984c2340cea2f430b
Versión del IVDF:	7.10.08.233 - miércoles 30 de junio de 2010

General Método de propagación:
   • Función de autoejecución

Alias:
   • Mcafee: Generic Malware.bj trojan
   • Panda: W32/Sohanat.KS
   • Eset: Win32/AutoRun.Autoit.BJ
   • Bitdefender: Trojan.AutoIT.AHQ

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\My Documents\My Pictures\My Pictures.exe
   • %WINDIR%\Xplorer.exe
   • %HOME%\My Documents\My Music\My Music.exe
   • %HOME%\My Documents\My Music.exe
   • %TEMPDIR%\Nature.scr
   • (es)\KHATRA.exe
   • %TEMPDIR%\download.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\KHATRA.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\Administrator.exe
   • %TEMPDIR%\Hacker.exe
   • %SYSDIR%\gHost.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\New Folder(3).exe
   • %TEMPDIR%\Administrator.scr
   • %SYSDIR%\KHATRA.exe
   • %TEMPDIR%\fhset267.exe
   • %TEMPDIR%\bikini02.scr
   • %TEMPDIR%\dmario.exe
   • %TEMPDIR%\kavSetup.exe
   • %HOME%\My Documents\My Pictures.exe
   • %WINDIR%\KHATARNAKH.exe
   • %TEMPDIR%\slideshow.exe
   • %TEMPDIR%\clean.exe

Elimina la copia inicial del virus.

Elimina los siguientes ficheros:
   • %TEMPDIR%\cab7
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini
   • %HOME%\Start Menu\Programs\Startup\desktop.ini
   • %TEMPDIR%\cab9
   • %TEMPDIR%\kma58507.tmp
   • %TEMPDIR%\cab2
   • %TEMPDIR%\kma23069.tmp
   • %TEMPDIR%\cab6
   • %TEMPDIR%\cab5
   • %TEMPDIR%\cab4
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\kma93906.tmp
   • %TEMPDIR%\kma47137.tmp
   • %TEMPDIR%\cab11
   • %TEMPDIR%\cab10
   • %TEMPDIR%\kma18334.tmp
   • %TEMPDIR%\kma70143.tmp
   • %TEMPDIR%\cab8
   • %TEMPDIR%\kma21642.tmp
   • %TEMPDIR%\kma33907.tmp
   • %TEMPDIR%\cab3
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\kma12467.tmp
   • %TEMPDIR%\kma78450.tmp

Crea los siguientes ficheros:

– %WINDIR%\inf\Autoplay.inF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

– %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\(Empty).LNK Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

– (es)\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • (es)

– %TEMPDIR%\cab9
– %TEMPDIR%\cab3
– %WINDIR%\mario675.cab
– %TEMPDIR%\kma12467.tmp
– %WINDIR%\New WinZip File.cab
– %WINDIR%\CyberWar.cab
– %WINDIR%\supermodels.cab
– %TEMPDIR%\cab11
– %TEMPDIR%\cab10
– %TEMPDIR%\kma70143.tmp
– %WINDIR%\new-screamsaver.com.cab
– %TEMPDIR%\kma23069.tmp
– %WINDIR%\fh_antivirussetup6534.cab
– %WINDIR%\K.Backup\C_Drive_Documents and Settings_All Users_Start Menu_Programs_Startup_desktop.ini.FUCKED
– %WINDIR%\K.Backup\C_Drive_Documents and Settings_Administrator_Start Menu_Programs_Startup_desktop.ini.FUCKED
– %TEMPDIR%\kma18334.tmp
– %TEMPDIR%\kma93906.tmp
– %TEMPDIR%\kma47137.tmp
– %TEMPDIR%\kma33907.tmp
– %TEMPDIR%\aut1.tmp
– %TEMPDIR%\kma58507.tmp
– %WINDIR%\New WinRAR archive.cab
– %WINDIR%\kavSetupEng3857.cab
– %TEMPDIR%\aut2.tmp
– %TEMPDIR%\kma21642.tmp
– %WINDIR%\Youtube.cab
– %TEMPDIR%\kma78450.tmp
– %TEMPDIR%\cab2 Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Katar.417052

– %TEMPDIR%\cab7
– %TEMPDIR%\cab6
– %TEMPDIR%\cab5
– %TEMPDIR%\cab4 Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Katar.417052

– %TEMPDIR%\cab8
– %WINDIR%\New WinRAR ZIP archive.cab

Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\KHATRA.exe

– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp

– Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\Xplorer.exe" /Windows

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\gHost.exe" /Reproduce

– Ejecuta uno de los ficheros siguientes:
   • MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT /delete /yes

– Ejecuta uno de los ficheros siguientes:
   • AT /delete /yes

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe

– Ejecuta uno de los ficheros siguientes:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C RegSvr32 /S %SYSDIR%\avphost.dll

– Ejecuta uno de los ficheros siguientes:
   • RegSvr32 /S %SYSDIR%\avphost.dll

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\cmd.exe /C netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%SYSDIR%\KHATRA.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\KHATRA.exe"="%SYSDIR%\KHATRA.exe:*:Enabled:System"

Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"="Internet Exploiter"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Nico Mak Computing\WinZip\caution]
   • "NoUnsafeTypeCautionForEXE"="1"
   • "NoUnsafeTypeCautionForSCR"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKLM\SOFTWARE\KHATRA\Startup_List]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoControlPanel"=dword:0x00000001

Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage]
   Nuevo valor:
   • "Start"=dword:0x00000004

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   Nuevo valor:
   • "Start"=dword:0x00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Nuevo valor:
   • "%configuración definida por el usuario%"="%WINDIR%\Xplorer.exe"
   • "%configuración definida por el usuario%" = "%WINDIR%\Xplorer.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   Nuevo valor:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuevo valor:
   • "Load"="%SYSDIR%\KHATRA.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\upnphost]
   Nuevo valor:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NoDriveTypeAutoRun"=dword:0x000000ff

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 9 de julio de 2010
Descripción actualizada por Petre Galan el viernes 9 de julio de 2010

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas