Bondat蠕虫再度来袭！控制PC构建挖矿僵尸网络

近日，360互联网安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中，Bondat利用受害机器资源进行门罗币挖矿，并组建一个攻击WordPress站点的僵尸网络。根据360网络安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.com和urchintelemetry.com的监控数据来看，Bondat蠕虫此次爆发至少影响15000台个人电脑。

图：Bondat蠕虫控制端域名bellsyscdn.com和urchintelemetry.com访问量变化趋势

Bondat蠕虫又来袭利用浏览器隐秘挖矿

Bondat蠕虫最早出现在2013年，是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可移动磁盘传播，并依靠一个JS脚本完成信息收集、自我复制、命令执行、构建僵尸网络等多项任务。

图：Bondat蠕虫的简单工作原理

早期的Bondat蠕虫主要通过修改浏览器主页获利。随着加密数字货币的兴起，Bondat蠕虫也涉足加密数字货币挖矿领域。在3月底的这次爆发中，Bondat蠕虫通过控制端下发门罗币挖矿代码并在受害者计算机上运行。

经过监测和分析可以看到，Bondat蠕虫会根据用户计算机的实际情况，选择使用Chrome浏览器、Firefox浏览器或Edge浏览器的其中之一，来访问已经嵌入挖矿脚本的指定网站进行门罗币挖矿。也就是说，中招的用户在不知不觉间就沦为了Bondat蠕虫的“挖矿工”。

Bondat蠕虫选择通过浏览器挖矿，而不是像其他僵尸网络一样将挖矿木马植入用户计算机中，其实这样做的收益会降低很多，但是隐蔽性却更高。看来Bondat蠕虫的目的不是“干一票就走”，而是想要“放长线钓大鱼”。

Bondat蠕虫主要通过可移动磁盘传播，并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件（例如doc、jpg），在创建与这些文件同名的快捷方式的同时隐藏这些文件，而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时，极有可能将这些快捷方式误认为为正常文件，进而导致Bondat蠕虫的执行。

Bondat蠕虫与杀软对抗360可全面拦截查杀

Bondat蠕虫也会与杀毒软件进行对抗，这不仅影响杀毒软件的判断也增加了分析人员的工作量。此外，Bondat蠕虫还会尝试结束部分杀毒软件和安全软件进程。结束进程的同时，Bondat蠕虫会弹出一个伪造的程序错误提示框，此时无论用户点击确定或者取消都无法阻止进程结束，并且之后该进程无法再次启动。攻击者的本意可能是想伪造杀毒软件或安全软件异常退出时的假象，让用户误以为确实是这些软件内部出现了问题，但这也非常容易引起用户的怀疑，所以攻击者在这一点上有点“聪明反被聪明误”了。

图：Bondat蠕虫结束进程时弹出的窗口

各类U盘传播的蠕虫，一直以来都是学校，打印店，各类单位局域网内的“常客”，而Bondat蠕虫除会引发之前常见蠕虫的问题之外，还会大量消耗计算机资源，造成计算机卡慢等问题。Bondat蠕虫在对抗杀软方面，也做了大量工作，比如抛弃直接植入挖矿木马转而选择浏览器挖矿就增加了其隐蔽性。因此用户更需要对此提高警惕。防御这类蠕虫的攻击，主要可以从以下几方面入手：

1.使用U盘，移动硬盘时应该格外注意，建议使用具有U盘防护功能的安全软件；

2.发现计算机长时间异常卡顿，可以使用360安全卫士进行扫描体检；

3.定期对计算机进行病毒木马查杀，防止蠕虫病毒持续驻留。

4.而对于WordPrees站点管理者而言，使用强度较大的登陆密码，并且及时修补相关漏洞是阻止站点遭到攻击最有效的方法。

此外，安全专家建议广大用户及时安装360安全卫士，无需升级就可以全面拦截和查杀此类木马。