Infection Bondat

Nouvelle infection découverte par UsbFix : Bondat. A l’instar de l’infection Houdini, Bondat ce propage sur les supports USB et se dissimule grâce à des raccourcis piégés.

En lisant le raccourcis piégé créé :

L
 À Fã ßr›ÛŸÎ
ßr›ÛŸÎ
™s]ÛŸÎ
n 
 5
 PàOÐ ê:i¢Ø +00 /C:\ V 1 :Eíz Windows @  ï¾Cˆl:Eíz. ²
Vy… W i n d o w s  Z 1 cEº} System32 B  ï¾C‰lcEº}. 8
J S y s t e m 3 2  V 2 n CpP cmd.exe @  ï¾CqPCqP. ÌS
gþ c m d . e x e  J 
 - I   …]ñŠ C:\Windows\System32\cmd.exe M / c s t a r t w s c r i p t . e x e " . T r a s h e s \ 4 9 0 \ q c c k s l o g d . j s " & " . T r a s h e s \ t c 3 0 4 0 6 4 0 0 a . e x e " ! % s y s t e m r o o t % \ s y s t e m 3 2 \ s h e l l 3 2 . d l l 
%comspec% % c o m s p e c %   % Ý  wNÁç]N·D.±®Q˜·Ý • ‰ 1SPSâŠXF¼L8C»ü“&˜mÎm   . S - 1 - 5 - 2 1 - 4 2 6 2 3 4 0 8 5 0 - 5 4 8 8 9 5 8 8 9 - 3 9 9 1 6 6 0 3 5 5 - 1 0 0 1 `  X server "»K‘NRÒJ–¤ Íšt8`¨NÕ9`䂘x+Ë®2l"»K‘NRÒJ–¤ Íšt8`¨NÕ9`䂘x+Ë®2l

Nous pouvons mettre en évidence cette ligne :

C:\Windows\System32\cmd.exe M / c s t a r t w s c r i p t . e x e " . T r a s h e s \ 4 9 0 \ q c c k s l o g d . j s " & " . T r a s h e s \ t c 3 0 4 0 6 4 0 0 a . e x e "

On s’aperçoit alors que le processus wscript.exe (Fichier légitime Microsoft Windows) lance l’infection Bondat .Trashes\490\qcckslogd.js puis le fichier de l’utilisateur : .Trashes\tc30406400a.exe

Le sous dossier créé dans le dossier .Trashes (Légitime) .Trashes\490 est aléatoire, rendant la détection plus compliquée pour les outils de désinfection. Une copie de l’infection est placée dans le dossier %Temp% et dans %AppData%

C:\Users\%userName%\AppData\Local\Temp\nnbly.js
C:\Users\%userName%\AppData\Roaming\hcnmie\jdvbsjqyl.js

UsbFix détecte cette infection, voici un exemple de rapport :

################## | Security Information |

AV: Windows Defender [b](!) Desactivado[/b] |Actualizado]
AV: avast! Antivirus [Activado |Actualizado]
AS: Windows Defender [[b](!) Desactivado[/b] |Actualizado]
AS: avast! Antivirus [Activado |Actualizado]
AS: Malwarebytes Anti-Malware : 2.0.3.1025
FW: Windows Firewall [Activado]
SC: Security Center [Activado]
WU: Windows Update [Activado]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disco fijo # 912 Gb (771 Gb libre(s) – 85%) [Windows] # NTFS
D:\ -> Disco fijo # 18 Gb (2 Gb libre(s) – 12%) [Recovery Image] # NTFS
J:\ -> Disco extraíble # 1 Gb (121 Mb libre(s) – 11%) [NUCLEAR] # FAT32
K:\ -> Disco extraíble # 7 Gb (7 Gb libre(s) – 100%) [] # FAT32

################## | Búsqueda genérica |

Borrado! J:\.Trashes\729\ggtsxmb.js
Borrado! J:\.Trashes\729
Borrado! K:\.Trashes\729\ggtsxmb.js
Borrado! K:\.Trashes\729
Borrado! J:\DCIM.lnk
Borrado! J:\blackmart.lnk
Borrado! J:\Fightback v1.8.0.apk.lnk
Borrado! J:\games.lnk
Borrado! J:\Download.lnk
Borrado! J:\funzio.lnk
Borrado! J:\gameloft.lnk
Borrado! J:\data.lnk
Borrado! J:\BlockStory.lnk
Borrado! J:\youmicache.lnk
Borrado! J:\openfeint.lnk
Borrado! J:\Pictures.lnk
Borrado! J:\cache.lnk
Borrado! J:\Optifine[Fucheta].js.lnk
Borrado! J:\Encantamientos sonick96.js.lnk
Borrado! J:\Nueva carpeta.lnk
Borrado! J:\LOST.DIR.lnk
Borrado! J:\ReisMiniMap Mod De Stund Connor©.js.lnk
Borrado! J:\Android.lnk
Borrado! J:\No Laggs mod v1.2 by XenosHD.js.lnk
Borrado! J:\SIX-GUNS-2.5.0-MOD-APK.apk.lnk
Borrado! J:\Autorun.inf.lnk
Borrado! J:\MC PE Android 2.3+.apk.lnk
Borrado! J:\blocklauncherpro_1.7.7_[Fucheta].apk.lnk
Borrado! K:\LOST.DIR.lnk
Borrado! K:\Autorun.inf.lnk
Borrado! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! C:\Users\social\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! C:\Users\social\AppData\Local\Temp\nnbly.js
Borrado! C:\Users\social\AppData\Roaming\hcnmie\jdvbsjqyl.js

(!) Archivos temporales suprimido. (49.7655963897705 MB)

Reparado ! HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|EnableShellExecuteHooks -> 0

################## | Regedit Run |

F2 – HKLM\..\Winlogon : [Shell] Explorer.exe
F2 – [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 – HKLM\..\Winlogon : [Userinit] userinit.exe,
F2 – [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 – HKCU\..\Run : [uTorrent] « C:\Users\social\AppData\Roaming\uTorrent\uTorrent.exe » /MINIMIZED
04 – HKCU\..\Run : [DAEMON Tools Lite] « C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe » -autorun
04 – HKCU\..\Run : [EADM] « C:\Program Files (x86)\Origin\Origin.exe » -AutoStart
04 – HKCU\..\Run : [ares] « C:\Program Files (x86)\Ares\Ares.exe » -h
04 – HKCU\..\Run : [Advanced SystemCare 7] « C:\Program Files (x86)\IObit\Advanced SystemCare 7\ASCTray.exe » /Auto
04 – HKLM\..\Run : [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
04 – HKLM\..\Run : [RazerGameBooster] C:\Program Files (x86)\Razer\Razer Game Booster\RazerGameBooster.exe -autorun
04 – HKLM\..\Run : [AvastUI.exe] « C:\Program Files\AVAST Software\Avast\AvastUI.exe » /nogui
04 – HKLM\..\Run : [GrooveMonitor] « C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe »
04 – HKLM\..\Run : [SunJavaUpdateSched] « C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe »
04 – [x64] HKLM\..\Run : [BeatsOSDApp] C:\Program Files\IDT\WDM\beats64.exe
04 – [x64] HKLM\..\Run : [IgfxTray] C:\windows\system32\igfxtray.exe
04 – [x64] HKLM\..\Run : [HotKeysCmds] C:\windows\system32\hkcmd.exe
04 – [x64] HKLM\..\Run : [Persistence] C:\windows\system32\igfxpers.exe
04 – [x64] HKLM\..\RunOnce : [NCPluginUpdater] « C:\Program Files (x86)\Hewlett-Packard\HP Health Check\ActiveCheck\product_line\NCPluginUpdater.exe » Update
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001\..\Run : [uTorrent] « C:\Users\social\AppData\Roaming\uTorrent\uTorrent.exe » /MINIMIZED
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001\..\Run : [DAEMON Tools Lite] « C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe » -autorun
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001\..\Run : [EADM] « C:\Program Files (x86)\Origin\Origin.exe » -AutoStart
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001\..\Run : [ares] « C:\Program Files (x86)\Ares\Ares.exe » -h
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001\..\Run : [Advanced SystemCare 7] « C:\Program Files (x86)\IObit\Advanced SystemCare 7\ASCTray.exe » /Auto
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run : [uTorrent] « C:\Users\social\AppData\Roaming\uTorrent\uTorrent.exe » /MINIMIZED
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run : [DAEMON Tools Lite] « C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe » -autorun
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run : [EADM] « C:\Program Files (x86)\Origin\Origin.exe » -AutoStart
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run : [ares] « C:\Program Files (x86)\Ares\Ares.exe » -h
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\..\Run : [Advanced SystemCare 7] « C:\Program Files (x86)\IObit\Advanced SystemCare 7\ASCTray.exe » /Auto
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\..\Run : [uTorrent] « C:\Users\social\AppData\Roaming\uTorrent\uTorrent.exe » /MINIMIZED
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\..\Run : [DAEMON Tools Lite] « C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe » -autorun
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\..\Run : [EADM] « C:\Program Files (x86)\Origin\Origin.exe » -AutoStart
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\..\Run : [ares] « C:\Program Files (x86)\Ares\Ares.exe » -h
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\..\Run : [Advanced SystemCare 7] « C:\Program Files (x86)\IObit\Advanced SystemCare 7\ASCTray.exe » /Auto
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\..\Run : [uTorrent] « C:\Users\social\AppData\Roaming\uTorrent\uTorrent.exe » /MINIMIZED
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\..\Run : [DAEMON Tools Lite] « C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe » -autorun
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\..\Run : [EADM] « C:\Program Files (x86)\Origin\Origin.exe » -AutoStart
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\..\Run : [ares] « C:\Program Files (x86)\Ares\Ares.exe » -h
04 – HKU\S-1-5-21-3654484473-2869417132-4193491811-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-2\..\Run : [Advanced SystemCare 7] « C:\Program Files (x86)\IObit\Advanced SystemCare 7\ASCTray.exe » /Auto

Une copie de l’infection a été transmise aux différents éditeurs antivirus.

[fusion_title size= »3″]Les détections débutes :[/fusion_title]

• https://www.virustotal.com/fr/file/7dadc9203a00fda282a92652b2940b779eb8d8567d8db6ec8ff992451e55d442/analysis/1415734644/
• https://www.virustotal.com/fr/file/57633b1ce795cf9af0a095615ab74e16d39401f0fd69f2e21dfd5e9b4f3a4f37/analysis/1415697615/

Depuis la version 7.803, les détections sont complètes

################## | Búsqueda genérica |

Borrado! G:\.Trashes\841\bcssjhyt.js
Borrado! G:\.Trashes\841
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\amdupdater64.exe
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\axdbpiv
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\dkhte
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\dskupdate.exe
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\eoycak.js
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\fssqjdm
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\hpmonitor.exe
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\intelhost.exe
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\tcpupdate64.exe
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\urwpvradl
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\wadwsp
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh\winsys32.exe
Borrado! C:\Users\Alexreyes50\AppData\Roaming\cghwdbcjh
Borrado! C:\Users\Alexreyes50\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! G:\Cosmos 01 [www.newpct.com].avi.lnk
Borrado! C:\Users\Alexreyes50\AppData\Local\Temp\ewnln.js

(!) Archivos temporales suprimido. (706.408220291138 MB)

################## | Generic Research |

Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\cmdupdater.exe
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\diskmgr.exe
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\dllproc.exe
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\hpmonitor64.exe
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\lgjuc
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\msprocess.exe
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\ndxwofrx
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\ohgrhlvke.js
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\oshyvuuo
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\sxrpjo
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\tcpsys64.exe
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal\uxhjcqgqk
Deleted! C:\Users\AnDReW\AppData\Roaming\mkwhal
Deleted! C:\Users\AnDReW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Deleted! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk

################## | Búsqueda genérica |

Borrado! C:\Users\Family\K-37763-383-2847-00\winsrc.exe
Borrado! M:\.Trashes\669\xlumxkt.js
Borrado! M:\.Trashes\669
Borrado! M:\U3Driver.exe
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\ababab
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\amdhost32.exe
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\diskprocess.exe
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\dllsys.exe
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\dskmgr64.exe
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\enjvyhud
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\gablf
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\udpupdater.exe
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\vqkqpguab
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\winupdater.exe
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\xarbyi
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\yccxdu
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin\yntch.js
Borrado! C:\Users\Family\AppData\Roaming\wwryxiin
Borrado! C:\Users\Family\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! M:\chrome.lnk
Borrado! M:\U3Driver.exe.lnk
Borrado! M:\.Trashes.lnk
Borrado! M:\Drumstep.lnk
Borrado! C:\Users\Family\K-37763-383-2847-00
Borrado! M:\Autorun.inf
Borrado! M:\.Trashes\U3Driver.exe
Borrado! M:\chrome\.Trashes.exe
Borrado! M:\chrome\Drumstep.exe

(!) Archivos temporales suprimido. (3680.8153924942 MB)