ブラジルチームのコーチ戦略通知を装うBrazilワーム | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.25(土)

ブラジルチームのコーチ戦略通知を装うBrazilワーム

国際 海外情報

◆概要:
 Brazilは、マイクロソフト社のOutlookアドレス帳とインターネットリレーチャット(IRC)にある全アドレスに対して、感染した電子メールを送信することにより拡散する新しい大量メール送信型ワームである。Brazilによって作成された電子メールは、ブラジルがサッカーのワールドカップ大会で使う戦術を通知するファイルを装う。Brazilによって送信する電子メールの特徴は以下の通り。

Subject: Will Brazil Will Win Turkey? Read To Know The Tricks!
Message: Trashing Turkey Tactics!! Fresh From Brazil Coach!!
Attachment: lucio.vbs (10,018 bytes)

 感染した添付ファイルが実行されると、ファイルが実行された場所と同じディレクトリーにCafu.BATが作成される。その後、BrazilがC:ドライブにlucio.vbs及びmarco.BATを作成する。Brazilが大量メールの送信ルーチンを完了すると、これらの一時ファイルは削除される。BrazilによってWindowsディレクトリーに作成されるその他のファイルは以下の通り。

・ceni.vbs ・chmvc.bat ・denilson.vbs ・dida.bat ・kaka.bat
・luiza.bat ・polga.vbs ・paulista.bat ・rogerio.vbs

 さらに、Brazilは、C:ドライブにThis_Is_Just_A_Simple_Worm_by_Galaxynet_IRC_#VXという新しいディレクトリーを作成し、このディレクトリー内にronaldo.jpg.BATを保存する。また、C:ドライブにpif.lnk及びGalaxynetIRC#VX.batも作成する。WindowsのSystemディレクトリーには、wini.bat及びvampeta.bat、スタートアップディレクトリーにはkleberson.batが作成される。Windowsの起動時にこのワームを実行するように、system.iniが変更される。

 IRCの起動時にワームを実行し、感染したユーザーと同じチャンネルにいるユーザーに自己コピーをアップロードして他のIRCユーザーに拡散するようにscript.iniも上書きされる。

 Brazilは、次のようなアンチウイルス及びセキュリティに関するソフトウェアアプリケーションの削除も試みる。

・antivir.vdf ・avp32.exe ・fpw32.dll ・NAV applications ・scan.dat
・tbav.dat ・tc.exe

 Brazilの悪意のあるコード部分には次のテキストが含まれている。

A Brazil Worm - To Trash Turkey In Next Match !!!
Brazil shall win the World Cup 2002 !!

◆別名:
 Worm/Brazil、Brazil


◆情報ソース:
・ Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=020624-000006 ), June 24, 2002

◆キーワード:
 Worm: E mail Worm: Online messaging

◆分析:
 (iDEFENSE 米国) Brazilは、BWGワームファミリーに密接なつながりがある。電子メール添付ファイルとしての.vbsをブロックし、IRCを介してファイルを受信しないように設定することにより、簡単にBrazilからの攻撃を防止できる。さらに、WSH(Windows Script Host)を必要としないコンピューターでは、WSHを削除することにより、このような脅威に対する保護を簡単に行うことができる。

◆検知方法:
 上述の電子メールBrazilによって多くのディレクトリーに作成されたファイル、ワームによって作成されたsystem.ini及びscript.iniを探す。

◆リカバリー方法:
 Brazilに関するすべてのファイルを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。Script.iniをクリーンなバックアップコピーで修復する必要が生じる場合がある。system.iniに追加された悪意のあるステートメント削除する。すべてのセキュリティソフトウェアの機能を確認し、必要に応じて再インストールする。

◆暫定処置:
 一般的に悪意のあるコードが他のコンピューターに拡散する際に用いるファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

 通常のオペレーションでWSH(Windows Scripting Host)が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。

 全ファイル転送をブロックするようにIRCプログラムを構成する。

◆ベンダー情報:
 現在、セントラルコマンド社のアンチウイルスソフトウェアは、この悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのBrazilを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【15:26 GMT、06、26、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  3. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  4. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. どこかへ跳んでいけ、出来の悪いラビット(The Register)

  8. SMSによる二要素認証が招くSOS(The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×