BKDR_CN.A
Trojan:Win32/Crazynet.378 (Microsoft), Backdoor.CrazyNet.3.7.5 (FSecure), Backdoor.Win32.VB.HMR!cobra (v) (Sunbelt), BDS/CrazyNet.521 (Antivir), Trojan horse BackDoor.CrazyNet (AVG), Backdoor.CrazyNet.3.7.5 (Bitdefender), W32/CrazyN.378!tr.bdr (Fortinet), Backdoor.Win32.CrazyNet.375 (Ikarus), Win32/CrazyNet.375 trojan (ESET), Trojan W32/Crazzy.3_78 (Norman), Bck/CrazzyNet.3.7.8 (Panda)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
バックドア型
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
詳細
侵入方法
マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。
- %Windows%\Registry32.exe
(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)
マルウェアは、以下のファイルを作成します。
- %System Root%\mykeys.sys
- %System Root%\winstart.bat
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。
自動実行方法
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Reg32 = "Registry32.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
run = "Registry32.exe"
マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Winlogon
Shell = "Explorer.exe Registry32.exe"
(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)