製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:C
ウイルス情報
ウイルス情報

ウイルス名
W32/Crypto
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)		4060
対応定義ファイル
(現在必要とされるバージョン)		4060 (現在7109)
対応エンジン4.0.25以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Win32/Crypto
情報掲載日00/01/02
補足駆除について → パッチKERNEL32.DLLのバックアップとの置き換え、およびレジストリの修復を推奨します
発見日(米国日付)99/12/30
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
06/17RDN/Sdbot.bf...
06/17VBS/LoveLett...
06/17Generic Qhos...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7109
 エンジン:5.4.00
 
ウイルス検索
 


このウイルスはWindows98/NT/2000で発動します。場合によってはWin95でも発動します。これはメモリ常駐型ポリモルフィックウイルスです。暗号アルゴリズムを使って、ウイルス感染にステルス処理を施します。このウイルスは最初"NOTEPAD.EXE"および"PBRUSH.EXE"という名前であるWebサイトに公開されました。これらはWin98のオリジナルファイルにW32/Cryptoを感染させた物です。

感染ファイルが実行された場合、WININIT.INIとパッチされたKERNEL32.DLLコードがWindows/SYSTEMフォルダからWindowsフォルダにコピーされます。パッチ・コードには対モニタリング用ステルス手法や暗号化アルゴリズムなどを含むものです。またワクチンによる検出を妨害するためにいくつかのファイルがシステムから消去されます。消去されるファイルはAVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT, LGUARD.VPSです。

感染ファイルの実行後に、システムはパッチされたKERNEL32.DLLコードの実発動に先立ち、システムを再起動するようも止めてきます。再起動前にパッチKERNEL32.DLLを削除すれば、ウイルスはそれ以上繁殖できなくなります。既に落とし込まれているWININIT.INIファイル命令の働きにより、システム再起動時に、正規のKERNEL32.DLLはパッチKERNEL32.DLLに置き換えられます。(この時点では、ウイルスの駆除は不可能になります)。

このウイルスは以下のようにレジストリ・キーを改変します。これはパッチKERNEL32.DLLの暗号化処理に使われます。

  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\DefaultIcon
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\Shell
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\Shell\AutoRun
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\Shell\AutoRun\command
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ Default
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa411-6fd9-11d0-8c58-00c04fd9126b
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa412-6fd9-11d0-8c58-00c04fd9126b
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa412-6fd9-11d0-8c58-00c04fd9126b\Prizzy/29A
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data 2
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data 2\Windows
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A \EExport=”01”
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A \EPbK=”E7,6D,8B,6F,27,05,60,6A,34,EA,95,CA,17,4D,F4,2B”
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A \ExchTypeSubtype=”02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00”
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A \Kiss Of Death=”5E,22,E4,CA,EC,8E,BA,7B,70,6E,F2,9B,89,FB,56,C8”
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A \PSKEYS=”02,00,00,00”
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A \RandSeed=”FA,17,33,0E,BE,A1,9E,F1,F1,EB,FD,2C,79,F1,03,02”
  • HKEY_USERS\.DEFAULT\Software\Microsoft\Cryptography\UserKeys\Prizzy/29A \SigTypeSubtype=”01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00”
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\DefaultIcon\ @=”E:\CDSAMPLE\AUTORUN\WIN98CD.ICO”
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\Shell\@=”AutoRun”
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\Shell\AutoRun\@=”Auto&Play”
  • HKEY_LOCAL_MACHINE\Software\CLASSES\AutoRun\4\Shell\AutoRun\command\ @=”E:\CDSAMPLE\AUTORUN\AUTORUN.EXE”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\IEDirtyFlags\My=”524288”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ Migrate=”3”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\Blocking=”92,3F,E4,39,55,BB,77,11,03,84,6B,89,C8,AB,28,97”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\Display String=”Cryptographic Keys”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa411-6fd9-11d0-8c58-00c04fd9126b\ Access Rules=”3E,37,C3,AB,CF,74,C0,0B,54,CC,8E,AB,0E,BD,00,A6”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa411-6fd9-11d0-8c58-00c04fd9126b\Display String=”RSA Signature Keys”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa412-6fd9-11d0-8c58-00c04fd9126b\ Access Rules=”43,27,0D,9C,6D,54,7A,5D,A0,B9,0F,17,0F,9E,DD,62”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa412-6fd9-11d0-8c58-00c04fd9126b\ Display String=”RSA Exchange Keys”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa412-6fd9-11d0-8c58-00c04fd9126b\Prizzy/29A\ Behavior=”8C,A1,B6,3A,3C,3C,27,FB,63,2B,E3,04,A4,D7,B7,B4”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data\4d1fa410-6fd9-11d0-8c58-00c04fd9126b\ 4d1fa412-6fd9-11d0-8c58-00c04fd9126b\Prizzy/29A\ Item Data=”B1,3F,34,0E,AA,E0,14,35,D7,AB,BA,F4,B3,3E,48,46”
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\ *Default*\Data 2\Windows\Value=”28,D4,8D,82,59,41,33,BA,90,E1,38,30,C5,13,FE,CB”