JS_BONDAT.GGQW

2018年2月11日

解析者: John Kevin Sanchez

別名:

Js.Worm.Vjworm.Dzul (Tencent)

プラットフォーム:

Windows

危険度:

ダメージ度:

感染力:

感染確認数:

情報漏えい:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。

詳細

ファイルサイズ 24,443 bytes

タイプ JS

メモリ常駐はい

発見日 2018年1月16日

インストール

ワームは、以下のファイルを作成します。

%System%\Tasks\Skype

(註：%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
FR2A2Z30F1 = {malware filename}

この「スケジュールされたタスク」により、以下の時間ごとにワームが実行されます。

30 minutes

ワームは、＜Common Startup＞フォルダ内に以下のように自身のコピーを作成します。これにより、Windows起動時に自身のコピーの自動実行が可能となります。

%User Startup%\{malware filename}.js

(註：%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\＜ユーザ名＞\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\＜ユーザ名＞\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER
vjw0rm = {TRUE or FALSE}

感染活動

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在する以下の名前を使用します。

Folders
Files

マルウェアは、感染コンピュータ上にフォルダやファイルに偽装したショートカットファイル（拡張子「LNK」）を作成して自身のコピーへ誘導します。

その他

ワームは、以下のWebサイトにアクセスしてインターネット接続を確認します。

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab?450e630818915f6b

ワームは、以下の不正なWebサイトにアクセスします。

http://{BLOCKED}lkidsy2hf.{BLOCKED}s.net:1090/Vre