Nom:TR/Katar.417052
La date de la découverte:30/06/2010
Type:Cheval de Troie
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:417.052 Octets
Somme de contrôle MD5:519342b1fa03d41984c2340cea2f430b
Version IVDF:7.10.08.233 - mercredi 30 juin 2010

 Général Méthode de propagation:
   • Fonctionnalité d'exécution automatique


Les alias:
   •  Mcafee: Generic Malware.bj trojan
   •  Panda: W32/Sohanat.KS
   •  Eset: Win32/AutoRun.Autoit.BJ
   •  Bitdefender: Trojan.AutoIT.AHQ


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\My Documents\My Pictures\My Pictures.exe
   • %WINDIR%\Xplorer.exe
   • %HOME%\My Documents\My Music\My Music.exe
   • %HOME%\My Documents\My Music.exe
   • %TEMPDIR%\Nature.scr
   • (fr)\KHATRA.exe
   • %TEMPDIR%\download.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\KHATRA.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\Administrator.exe
   • %TEMPDIR%\Hacker.exe
   • %SYSDIR%\gHost.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\New Folder(3).exe
   • %TEMPDIR%\Administrator.scr
   • %SYSDIR%\KHATRA.exe
   • %TEMPDIR%\fhset267.exe
   • %TEMPDIR%\bikini02.scr
   • %TEMPDIR%\dmario.exe
   • %TEMPDIR%\kavSetup.exe
   • %HOME%\My Documents\My Pictures.exe
   • %WINDIR%\KHATARNAKH.exe
   • %TEMPDIR%\slideshow.exe
   • %TEMPDIR%\clean.exe



Il supprime sa propre copie, exécutée initialement



Il supprime les fichiers suivants:
   • %TEMPDIR%\cab7
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini
   • %HOME%\Start Menu\Programs\Startup\desktop.ini
   • %TEMPDIR%\cab9
   • %TEMPDIR%\kma58507.tmp
   • %TEMPDIR%\cab2
   • %TEMPDIR%\kma23069.tmp
   • %TEMPDIR%\cab6
   • %TEMPDIR%\cab5
   • %TEMPDIR%\cab4
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\kma93906.tmp
   • %TEMPDIR%\kma47137.tmp
   • %TEMPDIR%\cab11
   • %TEMPDIR%\cab10
   • %TEMPDIR%\kma18334.tmp
   • %TEMPDIR%\kma70143.tmp
   • %TEMPDIR%\cab8
   • %TEMPDIR%\kma21642.tmp
   • %TEMPDIR%\kma33907.tmp
   • %TEMPDIR%\cab3
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\kma12467.tmp
   • %TEMPDIR%\kma78450.tmp



Les fichiers suivants sont créés:

%WINDIR%\inf\Autoplay.inF Ceci est un fichier texte non malveillant avec le contenu suivant:
   • (fr)

– %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF Ceci est un fichier texte non malveillant avec le contenu suivant:
   • (fr)

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\(Empty).LNK Ceci est un fichier texte non malveillant avec le contenu suivant:
   • (fr)

(fr)\Autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • (fr)

%TEMPDIR%\cab9
%TEMPDIR%\cab3
%WINDIR%\mario675.cab
%TEMPDIR%\kma12467.tmp
%WINDIR%\New WinZip File.cab
%WINDIR%\CyberWar.cab
%WINDIR%\supermodels.cab
%TEMPDIR%\cab11
%TEMPDIR%\cab10
%TEMPDIR%\kma70143.tmp
%WINDIR%\new-screamsaver.com.cab
%TEMPDIR%\kma23069.tmp
%WINDIR%\fh_antivirussetup6534.cab
%WINDIR%\K.Backup\C_Drive_Documents and Settings_All Users_Start Menu_Programs_Startup_desktop.ini.FUCKED
%WINDIR%\K.Backup\C_Drive_Documents and Settings_Administrator_Start Menu_Programs_Startup_desktop.ini.FUCKED
%TEMPDIR%\kma18334.tmp
%TEMPDIR%\kma93906.tmp
%TEMPDIR%\kma47137.tmp
%TEMPDIR%\kma33907.tmp
%TEMPDIR%\aut1.tmp
%TEMPDIR%\kma58507.tmp
%WINDIR%\New WinRAR archive.cab
%WINDIR%\kavSetupEng3857.cab
%TEMPDIR%\aut2.tmp
%TEMPDIR%\kma21642.tmp
%WINDIR%\Youtube.cab
%TEMPDIR%\kma78450.tmp
%TEMPDIR%\cab2 Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Katar.417052

%TEMPDIR%\cab7
%TEMPDIR%\cab6
%TEMPDIR%\cab5
%TEMPDIR%\cab4 Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Katar.417052

%TEMPDIR%\cab8
%WINDIR%\New WinRAR ZIP archive.cab



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\KHATRA.exe


– Nom de fichier: Noms des fichiers:
   • netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Nom de fichier: Noms des fichiers:
   • "%WINDIR%\Xplorer.exe" /Windows


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Nom de fichier: Noms des fichiers:
   • "%SYSDIR%\gHost.exe" /Reproduce


– Nom de fichier: Noms des fichiers:
   • MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Nom de fichier: Noms des fichiers:
   • AT /delete /yes


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Nom de fichier: Noms des fichiers:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C RegSvr32 /S %SYSDIR%\avphost.dll


– Nom de fichier: Noms des fichiers:
   • RegSvr32 /S %SYSDIR%\avphost.dll


– Nom de fichier: Noms des fichiers:
   • %SYSDIR%\cmd.exe /C netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%SYSDIR%\KHATRA.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"



Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\KHATRA.exe"="%SYSDIR%\KHATRA.exe:*:Enabled:System"



Les clés de registre suivantes sont ajoutée:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"="Internet Exploiter"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Nico Mak Computing\WinZip\caution]
   • "NoUnsafeTypeCautionForEXE"="1"
   • "NoUnsafeTypeCautionForSCR"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKLM\SOFTWARE\KHATRA\Startup_List]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoControlPanel"=dword:0x00000001



Les clés de registre suivantes sont changées:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   La nouvelle valeur:
   • "Hidden"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage]
   La nouvelle valeur:
   • "Start"=dword:0x00000004

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   La nouvelle valeur:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   La nouvelle valeur:
   • "Start"=dword:0x00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   La nouvelle valeur:
   • "%réglages définis par l'utilisateur%"="%WINDIR%\Xplorer.exe"
   • "%réglages définis par l'utilisateur%" = "%WINDIR%\Xplorer.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   La nouvelle valeur:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   La nouvelle valeur:
   • "Load"="%SYSDIR%\KHATRA.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\upnphost]
   La nouvelle valeur:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   La nouvelle valeur:
   • "NoDriveTypeAutoRun"=dword:0x000000ff

 Détails de fichier Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le vendredi 9 juillet 2010
Description mise à jour par Petre Galan le vendredi 9 juillet 2010

Retour . . . .