解析者: Anthony Joe Melgarejo   
 別名:

Trojan:Win32/Crazynet.378 (Microsoft), Backdoor.CrazyNet.3.7.5 (FSecure), Backdoor.Win32.VB.HMR!cobra (v) (Sunbelt), BDS/CrazyNet.521 (Antivir), Trojan horse BackDoor.CrazyNet (AVG), Backdoor.CrazyNet.3.7.5 (Bitdefender), W32/CrazyN.378!tr.bdr (Fortinet), Backdoor.Win32.CrazyNet.375 (Ikarus), Win32/CrazyNet.375 trojan (ESET), Trojan W32/Crazzy.3_78 (Norman), Bck/CrazzyNet.3.7.8 (Panda)

 プラットフォーム:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 危険度:
 ダメージ度:
 感染力:
 感染確認数:

  • マルウェアタイプ:
    バックドア型

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

  詳細

ファイルサイズ 341,560 bytes
タイプ EXE
メモリ常駐 なし
発見日 2011年9月2日

侵入方法

マルウェアは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

マルウェアは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %Windows%\Registry32.exe

(註:%Windows%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、"C:\Windows" です。)

マルウェアは、以下のファイルを作成します。

  • %System Root%\mykeys.sys
  • %System Root%\winstart.bat

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

マルウェアは、自身(コンピュータに侵入して最初に自身のコピーを作成したマルウェア)を終了し、侵入したコンピュータ内で作成した自身のコピーの方を実行します。

自動実行方法

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Reg32 = "Registry32.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
run = "Registry32.exe"

マルウェアは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Winlogon
Shell = "Explorer.exe Registry32.exe"

(註:変更前の上記レジストリ値は、「Explorer.exe」となります。)