BKDR_CN.A
Trojan:Win32/Crazynet.378 (Microsoft), Backdoor.CrazyNet.3.7.5 (FSecure), Backdoor.Win32.VB.HMR!cobra (v) (Sunbelt), BDS/CrazyNet.521 (Antivir), Trojan horse BackDoor.CrazyNet (AVG), Backdoor.CrazyNet.3.7.5 (Bitdefender), W32/CrazyN.378!tr.bdr (Fortinet), Backdoor.Win32.CrazyNet.375 (Ikarus), Win32/CrazyNet.375 trojan (ESET), Trojan W32/Crazzy.3_78 (Norman), Bck/CrazzyNet.3.7.8 (Panda)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo di minaccia informatica:
Backdoor
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Dettagli tecnici
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %Windows%\Registry32.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Infiltra los archivos siguientes:
- %System Root%\mykeys.sys
- %System Root%\winstart.bat
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Reg32 = "Registry32.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
run = "Registry32.exe"
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Winlogon
Shell = "Explorer.exe Registry32.exe"
(Note: The default value data of the said registry entry is Explorer.exe.)