Bondat蠕虫难挡利益诱惑，锁主页挖矿勒索危害逐步增加

近日，腾讯御见威胁情报中心监测发现，借助U盘、移动硬盘传播的Bondat蠕虫病毒呈活跃趋势。该蠕虫构建的僵尸网络不仅通过浏览器执行JS挖矿木马，还会传播GandCrab3勒索病毒。
 
Bondat蠕虫最早出现在2013年，早期的Bondat蠕虫主要通过修改主页获利，在2018年3月份左右开始进行门罗币挖矿攻击，近段时间活跃的Bondat蠕虫不仅保留了主页修改、门罗币挖矿功能，还增加了传播勒索病毒的功能，危害等级逐步提高。
 
Bondat蠕虫感染流程
 
图1 Bondat蠕虫感染流程
 
Bondat僵尸网络近期活动趋势
 
图2 Bondat僵尸网络近期活动趋势
 
0×2 分析
1. 传播方式
Bondat蠕虫主要通过移动存储设备进行传播，通过枚举移动存储设备中的exe、doc、pdf等文件，然后创建这些文件名的同名快捷方式，并使快捷方式指向Bondat蠕虫启动器Drive.bat，当移动设备被另一台电脑打开时，病毒快捷方式很容易被执行导致蠕虫的扩散。
 
Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级
 
图3
 
2. JS分析
Bondat僵尸网络的主要功能都是通过一个JS完成，包括测试网络、检测杀软、隐藏文件、下载其他木马、感染等功能。感染成功后在AppData目录下创建随机名文件夹并释放exe和JS文件。
 
Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级
 
图4
 
EXE文件实际上是Wscript.exe被重名为随机名，用随机名的exe来启动JS脚本来躲避对Wscript.exe进程的监控。
 
Bondat蠕虫难挡利益诱惑 锁主页挖矿勒索危害逐步升级
 
图5
 
ASP站长网蠕虫主体JS经过强混淆，需要多步骤解密才能看到原来的代码。