JS_BONDAT.F

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

• %User Profile%\{random folder name}\{random string}.js
• %Application Data%\{random folder name}\{random string}.js

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust folgende Komponentendateien ein:

• {removable drive}\{user file or folder name}.lnk - detected as LNK_BONDAT.SM.

  These are shortcut files pointing to the malware's dropped copy in removable drive

Schleust folgende nicht bösartige Datei ein:

• %User Profile%\{random folder name}\{string 1}{string 2}{32, 64 or blank}.exe such as intelmon32.exe - copy of the legitimate wscript.exe that is used to execute JS_BONDAT.F
  where {string 1} can be any of the following:
  • win
  • cmd
  • disk
  • dsk
  • ms
  • hp
  • intel
  • amd
  • dll
  • tcp
  • udp
  where {string 2} can be any of the following:
  • process
  • proc
  • monitor
  • mon
  • sys
  • host
  • mgr
  • update
  • updater

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

• %User Profile%\{random folder name}
• %Application Data%\{random folder name}

(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.. %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

Schleust die folgende Verknüpfung in den Ordner 'Autostart' ein, die auf die Kopie der eigenen Datei verweist, so dass diese bei jedem Systemstart automatisch ausgeführt wird:

• Windows Explorer.lnk - detected as LNK_BONDAT.SM0

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

Verbreitung

Erstellt die folgenden Ordner in allen Wechsellaufwerken:

• {removable drive}\.Trashes
• {removable drive}\.Trashes\{random number}

Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:

• {removable drive}\.Trashes\{random number}\{random string}.js

Datendiebstahl

Folgende Daten werden gesammelt:

• user name
• computer name
• OS Version
• Language
• content of the registry HKLM\Software\Microsoft\Windows NT CurrentVersion\ProductID

Entwendete Daten

Sendet die gesammelten Daten über HTTP-POST an den folgenden URL:

• http://www2.{BLOCKED}connect.com
• http://{BLOCKED}.{BLOCKED}.3.136
• http://static.{BLOCKED}kweb.net