解析者: Cris Nowell Pantanilla   
 別名:

Worm:JS/Bondat (Microsoft), Trojan-Downloader.JS.Agent.ndw (Kaspersky), JS/Bondat.AN (ESET-NOD32)

 プラットフォーム:

Windows

 危険度:
 感染確認数:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
    はい

  • 感染報告の有無 :
    はい

  概要

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

  詳細

ファイルサイズ 340,263 bytes
タイプ JS
メモリ常駐 はい
発見日 2016年10月25日

侵入方法

ワームは、リムーバブルドライブを介してコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下として自身のコピーを作成し、実行します。

  • %AppData%\Roaming\{random}\{random}.js ← copy of itself

ワームは、以下のファイルを作成します。

  • %AppData%\Roaming\{random}\{random}.exe ← copy of wscript.exe
  • {Removable Drive}\Drive.bat ← executes copy in removable drives
  • %AppData%\Roaming\{random}\{random}

ワームは、以下のフォルダを作成します。

  • %AppData%\Roaming\{random}

自動実行方法

ワームは、Windows起動時に自動実行されるよう<User Startup>フォルダ内に以下のファイルを作成します。

  • %User Startup%\Start.lnk ← points to copy of itself

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

他のシステム変更

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(註:変更前の上記レジストリ値は、「1」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(註:変更前の上記レジストリ値は、「1」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に自身のコピーを作成します。

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}.{BLOCKED}.31.18/