Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusTR/Katar.417052
Data em que surgiu:30/06/2010
Tipo:Trojan
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:417.052 Bytes
MD5 checksum:519342b1fa03d41984c2340cea2f430b
Versão IVDF:7.10.08.233 - quarta-feira, 30 de junho de 2010

 Vulgarmente Meio de transmissão:
   • Recurso de execução automática


Alias:
   •  Mcafee: Generic Malware.bj trojan
   •  Panda: W32/Sohanat.KS
   •  Eset: Win32/AutoRun.Autoit.BJ
   •  Bitdefender: Trojan.AutoIT.AHQ


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\My Documents\My Pictures\My Pictures.exe
   • %WINDIR%\Xplorer.exe
   • %HOME%\My Documents\My Music\My Music.exe
   • %HOME%\My Documents\My Music.exe
   • %TEMPDIR%\Nature.scr
   • %unidade%\KHATRA.exe
   • %TEMPDIR%\download.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\KHATRA.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\Administrator.exe
   • %TEMPDIR%\Hacker.exe
   • %SYSDIR%\gHost.exe
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\New Folder(3).exe
   • %TEMPDIR%\Administrator.scr
   • %SYSDIR%\KHATRA.exe
   • %TEMPDIR%\fhset267.exe
   • %TEMPDIR%\bikini02.scr
   • %TEMPDIR%\dmario.exe
   • %TEMPDIR%\kavSetup.exe
   • %HOME%\My Documents\My Pictures.exe
   • %WINDIR%\KHATARNAKH.exe
   • %TEMPDIR%\slideshow.exe
   • %TEMPDIR%\clean.exe



Apaga a cópia executada inicialmente.



Elimina os seguintes ficheiros:
   • %TEMPDIR%\cab7
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini
   • %HOME%\Start Menu\Programs\Startup\desktop.ini
   • %TEMPDIR%\cab9
   • %TEMPDIR%\kma58507.tmp
   • %TEMPDIR%\cab2
   • %TEMPDIR%\kma23069.tmp
   • %TEMPDIR%\cab6
   • %TEMPDIR%\cab5
   • %TEMPDIR%\cab4
   • %TEMPDIR%\aut1.tmp
   • %TEMPDIR%\kma93906.tmp
   • %TEMPDIR%\kma47137.tmp
   • %TEMPDIR%\cab11
   • %TEMPDIR%\cab10
   • %TEMPDIR%\kma18334.tmp
   • %TEMPDIR%\kma70143.tmp
   • %TEMPDIR%\cab8
   • %TEMPDIR%\kma21642.tmp
   • %TEMPDIR%\kma33907.tmp
   • %TEMPDIR%\cab3
   • %TEMPDIR%\aut2.tmp
   • %TEMPDIR%\kma12467.tmp
   • %TEMPDIR%\kma78450.tmp



São criados os seguintes ficheiros:

%WINDIR%\inf\Autoplay.inF É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • (pt)

– %HOME%\Local Settings\Application Data\Microsoft\CD Burning\AUTORUN.inF É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • (pt)

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\(Empty).LNK É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • (pt)

%unidade%\Autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • (pt)

%TEMPDIR%\cab9
%TEMPDIR%\cab3
%WINDIR%\mario675.cab
%TEMPDIR%\kma12467.tmp
%WINDIR%\New WinZip File.cab
%WINDIR%\CyberWar.cab
%WINDIR%\supermodels.cab
%TEMPDIR%\cab11
%TEMPDIR%\cab10
%TEMPDIR%\kma70143.tmp
%WINDIR%\new-screamsaver.com.cab
%TEMPDIR%\kma23069.tmp
%WINDIR%\fh_antivirussetup6534.cab
%WINDIR%\K.Backup\C_Drive_Documents and Settings_All Users_Start Menu_Programs_Startup_desktop.ini.FUCKED
%WINDIR%\K.Backup\C_Drive_Documents and Settings_Administrator_Start Menu_Programs_Startup_desktop.ini.FUCKED
%TEMPDIR%\kma18334.tmp
%TEMPDIR%\kma93906.tmp
%TEMPDIR%\kma47137.tmp
%TEMPDIR%\kma33907.tmp
%TEMPDIR%\aut1.tmp
%TEMPDIR%\kma58507.tmp
%WINDIR%\New WinRAR archive.cab
%WINDIR%\kavSetupEng3857.cab
%TEMPDIR%\aut2.tmp
%TEMPDIR%\kma21642.tmp
%WINDIR%\Youtube.cab
%TEMPDIR%\kma78450.tmp
%TEMPDIR%\cab2 Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Katar.417052

%TEMPDIR%\cab7
%TEMPDIR%\cab6
%TEMPDIR%\cab5
%TEMPDIR%\cab4 Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Katar.417052

%TEMPDIR%\cab8
%WINDIR%\New WinRAR ZIP archive.cab



Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • %SYSDIR%\KHATRA.exe


– Executa um dos seguintes ficheiros:
   • netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\bikini02.scr %TEMPDIR%\kma47137.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\ADMINI~1.SCR %TEMPDIR%\kma33907.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\Nature.scr %TEMPDIR%\kma21642.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\fhset267.exe %TEMPDIR%\kma58507.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Executa um dos seguintes ficheiros:
   • "%WINDIR%\Xplorer.exe" /Windows


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\dmario.exe %TEMPDIR%\kma18334.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\kavSetup.exe %TEMPDIR%\kma12467.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\download.exe %TEMPDIR%\kma78450.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\Hacker.exe %TEMPDIR%\kma23069.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\clean.exe %TEMPDIR%\kma70143.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Executa um dos seguintes ficheiros:
   • "%SYSDIR%\gHost.exe" /Reproduce


– Executa um dos seguintes ficheiros:
   • MakeCab %TEMPDIR%\SLIDES~1.EXE %TEMPDIR%\kma93906.tmp


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C AT /delete /yes


– Executa um dos seguintes ficheiros:
   • AT /delete /yes


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Executa um dos seguintes ficheiros:
   • AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %SYSDIR%\KHATRA.exe


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C RegSvr32 /S %SYSDIR%\avphost.dll


– Executa um dos seguintes ficheiros:
   • RegSvr32 /S %SYSDIR%\avphost.dll


– Executa um dos seguintes ficheiros:
   • %SYSDIR%\cmd.exe /C netsh firewall add allowedprogram program=%SYSDIR%\KHATRA.exe name=System

 Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%SYSDIR%\KHATRA.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"



Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\KHATRA.exe"="%SYSDIR%\KHATRA.exe:*:Enabled:System"



São adicionadas as seguintes chaves ao registo:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "Window Title"="Internet Exploiter"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Nico Mak Computing\WinZip\caution]
   • "NoUnsafeTypeCautionForEXE"="1"
   • "NoUnsafeTypeCautionForSCR"="1"

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "AtTaskMaxHours"=dword:0x00000000

– [HKLM\SOFTWARE\KHATRA\Startup_List]
   • "Xplorer"=""%WINDIR%\Xplorer.exe" /Windows"
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoControlPanel"=dword:0x00000001



Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage]
   Valor recente:
   • "Start"=dword:0x00000004

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor recente:
   • "CheckedValue"=dword:0x00000000

– [HKLM\SYSTEM\CurrentControlSet\Services\TermService]
   Valor recente:
   • "Start"=dword:0x00000002

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   Valor recente:
   • "%definições do utilizador %"="%WINDIR%\Xplorer.exe"
   • "%definições do utilizador %" = "%WINDIR%\Xplorer.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\RDSessMgr]
   Valor recente:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor recente:
   • "Load"="%SYSDIR%\KHATRA.exe"

– [HKLM\SYSTEM\CurrentControlSet\Services\upnphost]
   Valor recente:
   • "Start"=dword:0x00000002

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor recente:
   • "NoDriveTypeAutoRun"=dword:0x000000ff

 Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em sexta-feira, 9 de julho de 2010
Descrição atualizada por Petre Galan em sexta-feira, 9 de julho de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.