ブラジルチームのコーチ戦略通知を装うBrazilワーム

◆概要：
　Brazilは、マイクロソフト社のOutlookアドレス帳とインターネットリレーチャット（IRC）にある全アドレスに対して、感染した電子メールを送信することにより拡散する新しい大量メール送信型ワームである。Brazilによって作成された電子メールは、ブラジルがサ

国際海外情報

2002年7月5日（金） 12時00分

◆概要：
　Brazilは、マイクロソフト社のOutlookアドレス帳とインターネットリレーチャット（IRC）にある全アドレスに対して、感染した電子メールを送信することにより拡散する新しい大量メール送信型ワームである。Brazilによって作成された電子メールは、ブラジルがサッカーのワールドカップ大会で使う戦術を通知するファイルを装う。Brazilによって送信する電子メールの特徴は以下の通り。

Subject: Will Brazil Will Win Turkey? Read To Know The Tricks!
Message: Trashing Turkey Tactics!! Fresh From Brazil Coach!!
Attachment: lucio.vbs (10,018 bytes)

　感染した添付ファイルが実行されると、ファイルが実行された場所と同じディレクトリーにCafu.BATが作成される。その後、BrazilがC:ドライブにlucio.vbs及びmarco.BATを作成する。Brazilが大量メールの送信ルーチンを完了すると、これらの一時ファイルは削除される。BrazilによってWindowsディレクトリーに作成されるその他のファイルは以下の通り。

・ceni.vbs ・chmvc.bat ・denilson.vbs ・dida.bat ・kaka.bat
・luiza.bat ・polga.vbs ・paulista.bat ・rogerio.vbs

　さらに、Brazilは、C:ドライブにThis_Is_Just_A_Simple_Worm_by_Galaxynet_IRC_#VXという新しいディレクトリーを作成し、このディレクトリー内にronaldo.jpg.BATを保存する。また、C:ドライブにpif.lnk及びGalaxynetIRC#VX.batも作成する。WindowsのSystemディレクトリーには、wini.bat及びvampeta.bat、スタートアップディレクトリーにはkleberson.batが作成される。Windowsの起動時にこのワームを実行するように、system.iniが変更される。

　IRCの起動時にワームを実行し、感染したユーザーと同じチャンネルにいるユーザーに自己コピーをアップロードして他のIRCユーザーに拡散するようにscript.iniも上書きされる。

　Brazilは、次のようなアンチウイルス及びセキュリティに関するソフトウェアアプリケーションの削除も試みる。

・antivir.vdf ・avp32.exe ・fpw32.dll ・NAV applications ・scan.dat
・tbav.dat ・tc.exe

　Brazilの悪意のあるコード部分には次のテキストが含まれている。

A Brazil Worm - To Trash Turkey In Next Match !!!
Brazil shall win the World Cup 2002 !!

◆別名：
　Worm/Brazil、Brazil

◆情報ソース：
・ Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=020624-000006 ), June 24, 2002

◆キーワード：
　Worm: E mail Worm: Online messaging

◆分析：
　(iDEFENSE 米国) Brazilは、BWGワームファミリーに密接なつながりがある。電子メール添付ファイルとしての.vbsをブロックし、IRCを介してファイルを受信しないように設定することにより、簡単にBrazilからの攻撃を防止できる。さらに、WSH（Windows Script Host）を必要としないコンピューターでは、WSHを削除することにより、このような脅威に対する保護を簡単に行うことができる。

◆検知方法：
　上述の電子メールBrazilによって多くのディレクトリーに作成されたファイル、ワームによって作成されたsystem.ini及びscript.iniを探す。

◆リカバリー方法：
　Brazilに関するすべてのファイルを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。Script.iniをクリーンなバックアップコピーで修復する必要が生じる場合がある。system.iniに追加された悪意のあるステートメント削除する。すべてのセキュリティソフトウェアの機能を確認し、必要に応じて再インストールする。

◆暫定処置：
　一般的に悪意のあるコードが他のコンピューターに拡散する際に用いるファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

　通常のオペレーションでWSH（Windows Scripting Host）が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。

　全ファイル転送をブロックするようにIRCプログラムを構成する。

◆ベンダー情報：
　現在、セントラルコマンド社のアンチウイルスソフトウェアは、この悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのBrazilを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【15:26 GMT、06、26、2002】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

ブラジルチームのコーチ戦略通知を装うBrazilワーム

Scan PREMIUM 会員限定記事

監視広告の覇者になれなかったオラクル、ポスト・ケンブリッジ・アナリティカ時代の逆風

今日もどこかで情報漏えい第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

役に立たないメール訓練もうやめません？ by Googleセキュリティ担当者

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

監視広告の覇者になれなかったオラクル、ポスト・ケンブリッジ・アナリティカ時代の逆風

今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

役に立たないメール訓練 もうやめません？ by Googleセキュリティ担当者

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Androidアプリ「ZOZOTOWN」にアクセス制限不備の脆弱性

VMware 製品にヒープベースのバッファオーバーフローの脆弱性や複数のローカル権限昇格の脆弱性

WordPress用プラグイン SiteGuard WP Plugin に変更したログインパスが漏えいする脆弱性

複数のトレンドマイクロ製品に複数の脆弱性

ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

GLAYの偽ライブ生配信 生中継騙るフィッシングサイトに注意呼びかけ

インシデント・事故 記事一覧へ

「アルファユニ 公式ショップ」に不正アクセス、1,054名分のカード情報が漏えい

Google フォームの設定を「誤って認識」イベント参加申込者の個人情報が閲覧可能に

Google フォームの設定不十分「松竹歌舞伎会」の個人情報が閲覧可能に

綜研化学にランサムウェア攻撃、子会社からも個人情報が流出した可能性

東京都の再委託先がフォームを誤設定、スマホサポーターの個人情報が閲覧可能に

手術画像の写真も ～ 名古屋大学 大学院 医学系研究科学生が患者情報を SNS 投稿

調査・レポート・白書・ガイドライン 記事一覧へ

ISOG-J「脆弱性トリアージガイドライン作成の手引き」公開

IPA「水道情報活用システムリーフレット」公開

指定事業者への禁止事項や遵守事項定める ～「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」成立

日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ～ プルーフポイント「CISO意識調査レポート 2024」

個人情報保護委員会 令和 5 年（2023）度 年次報告概要公表

Google セキュリティチームは Reporting API をどう使って潜在的問題を検出しているか

研修・セミナー・カンファレンス 記事一覧へ

エーアイセキュリティラボが考える「理想の脆弱性診断のプロセス」実現方法、6/26 オンライン開催

GMOイエラエのドローン向け脆弱性診断が「Japan Drone & AAM Awards 2024」受賞

エーアイセキュリティラボとテクマトリックスが販売店契約を締結

GMOイエラエ 市川遼氏「Interop Tokyo 2024」講演、サイバー攻撃で狙われやすい企業の特徴

消防庁、市区長対象の「全国防災・危機管理トップセミナー」開催

講師 篠田佳奈氏 ～ IISEC 20周年記念リレー講座、若者のセキュリティ人材育成 日英比較

製品・サービス・業界動向 記事一覧へ

応募〆切 来週 7月3日(水)｜東京都中小企業の CSIRT 構築と IT-BCP 策定[無料]支援事業 誌上説明会

「LogStare」生成 AI を活用したログ分析機能のアルファ版

脆弱性診断自動化ツール「AeyeScan」アップデート、RSSリーダーや Slack、Teams 等でお知らせ内容を確認可能に

NTTアドバンステクノロジ、CyCraft の技術活用「AIサイバーインシデント分析官サービス」

セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ～ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

NICT セキュリティ情報融合基盤「CURE」保有情報から自組織関連の攻撃情報等 通知可能に

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

今日もどこかで情報漏えい第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

役に立たないメール訓練もうやめません？ by Googleセキュリティ担当者

脆弱性と脅威記事一覧へ

GLAYの偽ライブ生配信生中継騙るフィッシングサイトに注意呼びかけ

インシデント・事故記事一覧へ

「アルファユニ公式ショップ」に不正アクセス、1,054名分のカード情報が漏えい

手術画像の写真も～名古屋大学大学院医学系研究科学生が患者情報を SNS 投稿

調査・レポート・白書・ガイドライン記事一覧へ

指定事業者への禁止事項や遵守事項定める～「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」成立

日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」～プルーフポイント「CISO意識調査レポート 2024」

個人情報保護委員会令和 5 年（2023）度年次報告概要公表

研修・セミナー・カンファレンス記事一覧へ

GMOイエラエ市川遼氏「Interop Tokyo 2024」講演、サイバー攻撃で狙われやすい企業の特徴

講師篠田佳奈氏～ IISEC 20周年記念リレー講座、若者のセキュリティ人材育成日英比較

製品・サービス・業界動向記事一覧へ

応募〆切来週 7月3日(水)｜東京都中小企業の CSIRT 構築と IT-BCP 策定[無料]支援事業誌上説明会

セキュリティ企業のセキュリティ企業によるセキュリティ企業のための投資ファンド～ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

NICT セキュリティ情報融合基盤「CURE」保有情報から自組織関連の攻撃情報等通知可能に

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ