JS_BONDAT.GGQN
Worm.JS.Bondat.Y (Bitdefender), Worm.JS.Bondat (Ikarus), Worm:JS/Bondat.D (Microsoft), JS/Bondat.AN worm (NOD32)
Windows
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、リムーバブルドライブを介してコンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、レジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にします。
ワームは、Internet Explorer(IE)のゾーン設定を変更します。
詳細
侵入方法
ワームは、リムーバブルドライブを介してコンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %Application Data%\{random folder name}\{random file name 1}.js
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
ワームは、以下のファイルを作成します。
- %Application Data%\{random folder name}\{random file name 3}
- %Application Data%\{random folder name}\{random file name 4}
- %Application Data%\{random folder name}\{random file name 5}
- %Application Data%\{random folder name}\{random file name 6}
- %Application Data%\{random folder name}\{random file name 7}
- {Removable Drive Letter}:\Drive.bat
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
ワームは、以下のファイルを作成し実行します。
- %Application Data%\{random folder name}\{random file name 2}.exe
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。.)
自動実行方法
ワームは、<User Startup>フォルダ内に、自身のコピーに誘導する以下のショートカットを作成します。これにより、Windows起動時に自身のコピーが自動実行されます。
- %User Startup%\Start.lnk
(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)
ワームは、Windows起動時に自動実行されるよう<スタートアップ>フォルダ内に以下のファイルを作成します。
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
(註:%ProgramData%フォルダは、Windows Vista および 7 の場合、通常、"C:\ProgramData"、Windows 2000、XP (32ビット)、Server 2003 の場合、"C:\Program Files"、Windows XP (64ビット) の場合、"C:\Program Files (x86)" です。)
ワームは、Windows起動時に自動実行されるよう<Common Startup>フォルダ内に以下のファイルを作成します。
- %All Users Profile%\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
(註:%All Users Profile%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\All Users”、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、"C:\ProgramData” です。.)
他のシステム変更
ワームは、以下のレジストリ値を変更し、システムファイルおよび読み取り専用属性のファイルを非表示にします。
HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0
(註:変更前の上記レジストリ値は、「1」となります。)
ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。
HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2
(註:変更前の上記レジストリ値は、「1」となります。)
感染活動
ワームは、すべてのリムーバブルドライブ内に以下のフォルダを作成します。
- {Removable Drive Letter}:\Drive
- {Removable Drive Letter}:\Drive\{random numbers}
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {Removable Drive Letter}:\Drive\{random numbers}\{random file name 8}.js
Webブラウザのホームページおよび検索ページの変更
ワームは、IEのゾーン設定を変更します。
その他
ワームは、以下のWebサイトにアクセスしてインターネット接続を確認します。
- www.microsoft.com
ワームは、以下の不正なWebサイトにアクセスします。
- 95.15{BLOCKED}1.18
- bellsys{BLOCKED}.com