Trend Micro Security

JS_BONDAT.GGQW

2018年2月11日
 解析者: John Kevin Sanchez   

 別名:

Js.Worm.Vjworm.Dzul (Tencent)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:


  • マルウェアタイプ: ワーム
  • 破壊活動の有無: なし
  • 暗号化:  
  • 感染報告の有無: はい

  概要


ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。


  詳細

ファイルサイズ 24,443 bytes
タイプ JS
メモリ常駐 はい
発見日 2018年1月16日

インストール

ワームは、以下のファイルを作成します。

  • %System%\Tasks\Skype

(註:%System%フォルダは、システムフォルダで、いずれのオペレーティングシステム(OS)でも通常、"C:\Windows\System32" です。.)

ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
FR2A2Z30F1 = {malware filename}

この「スケジュールされたタスク」により、以下の時間ごとにワームが実行されます。

  • 30 minutes

ワームは、<Common Startup>フォルダ内に以下のように自身のコピーを作成します。これにより、Windows起動時に自身のコピーの自動実行が可能となります。

  • %User Startup%\{malware filename}.js

(註:%User Startup%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Start Menu\Programs\Startup" 、Windows Vista 、 7 、8、8.1 、Server 2008 および Server 2012の場合、" C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" です。.)

他のシステム変更

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER
vjw0rm = {TRUE or FALSE}

感染活動

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在する以下の名前を使用します。

  • Folders
  • Files

マルウェアは、感染コンピュータ上にフォルダやファイルに偽装したショートカットファイル(拡張子「LNK」)を作成して自身のコピーへ誘導します。

その他

ワームは、以下のWebサイトにアクセスしてインターネット接続を確認します。

  • http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
  • http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab?450e630818915f6b

ワームは、以下の不正なWebサイトにアクセスします。

  • http://{BLOCKED}lkidsy2hf.{BLOCKED}s.net:1090/Vre