Nome del virus:TR/Katar.417052
Scoperto:30/06/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:417.052 Byte
Somma di controllo MD5:519342b1fa03d41984c2340cea2f430b
Versione IVDF:7.10.08.233 - mercoledì 30 giugno 2010

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Mcafee: Generic Malware.bj trojan
   •  Panda: W32/Sohanat.KS
   •  Eset: Win32/AutoRun.Autoit.BJ
   •  Bitdefender: Trojan.AutoIT.AHQ


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %HOME%\My Documents\My Pictures\My Pictures.exe
   • %WINDIR%\Xplorer.exe
   • %HOME%\My Documents\My Music\My Music.exe
   • %HOME%\My Documents\My Music.exe
   • %TEMPDIR%\Nature.scr
   • %unità disco%\KHATRA.exe
   • %TEMPDIR%\download.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\KHATRA.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\Administrator.exe
   • %TEMPDIR%\Hacker.exe
   • %SYSDIR%\gHost.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\New Folder(3).exe
   • %TEMPDIR%\Administrator.scr
   • %SYSDIR%\KHATRA.exe
   • %TEMPDIR%\fhset267.exe
   • %TEMPDIR%\bikini02.scr
   • %TEMPDIR%\dmario.exe
   • %TEMPDIR%\kavSetup.exe
   • %HOME%\My Documents\My Pictures.exe
   • %WINDIR%\KHATARNAKH.exe
   • %TEMPDIR%\slideshow.exe
   • %TEMPDIR%\clean.exe



Cancella la copia di se stesso eseguita inizialmente.



Cancella i seguenti file:
   • %TEMPDIR%\cab7
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini
   • %HOME%\Start Menu\Programs\Startup\desktop.ini
   • %TEMPDIR%\cab9
   • %TEMPDIR%\kma58507.tmp
   • %TEMPDIR%\cab2
   • %TEMPDIR%\kma23069.tmp
   • %TEMPDIR%\cab6
   • %TEMPDIR%\cab5
   • %TEMPDIR%\cab4
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\kma93906.tmp
   • %TEMPDIR%\kma47137.tmp
   • %TEMPDIR%\cab11
   • %TEMPDIR%\cab10
   • %TEMPDIR%\kma18334.tmp
   • %TEMPDIR%\kma70143.tmp
   • %TEMPDIR%\cab8
   • %TEMPDIR%\kma21642.tmp
   • %TEMPDIR%\kma33907.tmp
   • %TEMPDIR%\cab3
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\kma12467.tmp
   • %TEMPDIR%\kma78450.tmp



Vengono creati i seguenti file:

%WINDIR%\inf\Autoplay.inF Questo è un file di testo “non maligno” con il seguente contenuto:
   • (it)

– %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF Questo è un file di testo “non maligno” con il seguente contenuto:
   • (it)

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\(Empty).LNK Questo è un file di testo “non maligno” con il seguente contenuto:
   • (it)

%unità disco%\Autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • (it)

%TEMPDIR%\cab9
%TEMPDIR%\cab3
%WINDIR%\mario675.cab
%TEMPDIR%\kma12467.tmp
%WINDIR%\New WinZip File.cab
%WINDIR%\CyberWar.cab
%WINDIR%\supermodels.cab
%TEMPDIR%\cab11
%TEMPDIR%\cab10
%TEMPDIR%\kma70143.tmp
%WINDIR%\new-screamsaver.com.cab
%TEMPDIR%\kma23069.tmp
%WINDIR%\fh_antivirussetup6534.cab
%WINDIR%\K.Backup\C_Drive_Documents and Settings_All Users_Start Menu_Programs_Startup_desktop.ini.FUCKED
%WINDIR%\K.Backup\C_Drive_Documents and Settings_Administrator_Start Menu_Programs_Startup_desktop.ini.FUCKED
%TEMPDIR%\kma18334.tmp
%TEMPDIR%\kma93906.tmp
%TEMPDIR%\kma47137.tmp
%TEMPDIR%\kma33907.tmp
%TEMPDIR%\aut1.tmp
%TEMPDIR%\kma58507.tmp
%WINDIR%\New WinRAR archive.cab
%WINDIR%\kavSetupEng3857.cab
%TEMPDIR%\aut2.tmp
%TEMPDIR%\kma21642.tmp
%WINDIR%\Youtube.cab
%TEMPDIR%\kma78450.tmp
%TEMPDIR%\cab2 Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Katar.417052

%TEMPDIR%\cab7
%TEMPDIR%\cab6
%TEMPDIR%\cab5
%TEMPDIR%\cab4 Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Katar.417052

%TEMPDIR%\cab8
%WINDIR%\New WinRAR ZIP archive.cab



Prova ad eseguire i seguenti file:

– Nome del file:
   • %SYSDIR%\KHATRA.exe


– Nome del file:
   • netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Nome del file:
   • "%WINDIR%\Xplorer.exe" /Windows


– Nome del file:
   • MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Nome del file:
   • MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Nome del file:
   • "%SYSDIR%\gHost.exe" /Reproduce


– Nome del file:
   • MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Nome del file:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Nome del file:
   • AT /delete /yes


– Nome del file:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Nome del file:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Nome del file:
   • %SYSDIR%\cmd.exe /C RegSvr32 /S %SYSDIR%\avphost.dll


– Nome del file:
   • RegSvr32 /S %SYSDIR%\avphost.dll


– Nome del file:
   • %SYSDIR%\cmd.exe /C netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%SYSDIR%\KHATRA.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"



Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\KHATRA.exe"="%SYSDIR%\KHATRA.exe:*:Enabled:System"



Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"="Internet Exploiter"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Nico Mak Computing\WinZip\caution]
   • "NoUnsafeTypeCautionForEXE"="1"
   • "NoUnsafeTypeCautionForSCR"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKLM\SOFTWARE\KHATRA\Startup_List]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoControlPanel"=dword:0x00000001



Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuovo valore:
   • "Hidden"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage]
   Nuovo valore:
   • "Start"=dword:0x00000004

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuovo valore:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   Nuovo valore:
   • "Start"=dword:0x00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Nuovo valore:
   • "%impostazioni definite dell'utente%"="%WINDIR%\Xplorer.exe"
   • "%impostazioni definite dell'utente%" = "%WINDIR%\Xplorer.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   Nuovo valore:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuovo valore:
   • "Load"="%SYSDIR%\KHATRA.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\upnphost]
   Nuovo valore:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuovo valore:
   • "NoDriveTypeAutoRun"=dword:0x000000ff

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Petre Galan su venerdì 9 luglio 2010
Descrizione aggiornata da Petre Galan su venerdì 9 luglio 2010

Indietro . . . .