ブラジルチームのコーチ戦略通知を装うBrazilワーム
◆概要:
Brazilは、マイクロソフト社のOutlookアドレス帳とインターネットリレーチャット(IRC)にある全アドレスに対して、感染した電子メールを送信することにより拡散する新しい大量メール送信型ワームである。Brazilによって作成された電子メールは、ブラジルがサ
国際
海外情報
Brazilは、マイクロソフト社のOutlookアドレス帳とインターネットリレーチャット(IRC)にある全アドレスに対して、感染した電子メールを送信することにより拡散する新しい大量メール送信型ワームである。Brazilによって作成された電子メールは、ブラジルがサッカーのワールドカップ大会で使う戦術を通知するファイルを装う。Brazilによって送信する電子メールの特徴は以下の通り。
Subject: Will Brazil Will Win Turkey? Read To Know The Tricks!
Message: Trashing Turkey Tactics!! Fresh From Brazil Coach!!
Attachment: lucio.vbs (10,018 bytes)
感染した添付ファイルが実行されると、ファイルが実行された場所と同じディレクトリーにCafu.BATが作成される。その後、BrazilがC:ドライブにlucio.vbs及びmarco.BATを作成する。Brazilが大量メールの送信ルーチンを完了すると、これらの一時ファイルは削除される。BrazilによってWindowsディレクトリーに作成されるその他のファイルは以下の通り。
・ceni.vbs ・chmvc.bat ・denilson.vbs ・dida.bat ・kaka.bat
・luiza.bat ・polga.vbs ・paulista.bat ・rogerio.vbs
さらに、Brazilは、C:ドライブにThis_Is_Just_A_Simple_Worm_by_Galaxynet_IRC_#VXという新しいディレクトリーを作成し、このディレクトリー内にronaldo.jpg.BATを保存する。また、C:ドライブにpif.lnk及びGalaxynetIRC#VX.batも作成する。WindowsのSystemディレクトリーには、wini.bat及びvampeta.bat、スタートアップディレクトリーにはkleberson.batが作成される。Windowsの起動時にこのワームを実行するように、system.iniが変更される。
IRCの起動時にワームを実行し、感染したユーザーと同じチャンネルにいるユーザーに自己コピーをアップロードして他のIRCユーザーに拡散するようにscript.iniも上書きされる。
Brazilは、次のようなアンチウイルス及びセキュリティに関するソフトウェアアプリケーションの削除も試みる。
・antivir.vdf ・avp32.exe ・fpw32.dll ・NAV applications ・scan.dat
・tbav.dat ・tc.exe
Brazilの悪意のあるコード部分には次のテキストが含まれている。
A Brazil Worm - To Trash Turkey In Next Match !!!
Brazil shall win the World Cup 2002 !!
◆別名:
Worm/Brazil、Brazil
◆情報ソース:
・ Central Command Inc. ( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=020624-000006 ), June 24, 2002
◆キーワード:
Worm: E mail Worm: Online messaging
◆分析:
(iDEFENSE 米国) Brazilは、BWGワームファミリーに密接なつながりがある。電子メール添付ファイルとしての.vbsをブロックし、IRCを介してファイルを受信しないように設定することにより、簡単にBrazilからの攻撃を防止できる。さらに、WSH(Windows Script Host)を必要としないコンピューターでは、WSHを削除することにより、このような脅威に対する保護を簡単に行うことができる。
◆検知方法:
上述の電子メールBrazilによって多くのディレクトリーに作成されたファイル、ワームによって作成されたsystem.ini及びscript.iniを探す。
◆リカバリー方法:
Brazilに関するすべてのファイルを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。Script.iniをクリーンなバックアップコピーで修復する必要が生じる場合がある。system.iniに追加された悪意のあるステートメント削除する。すべてのセキュリティソフトウェアの機能を確認し、必要に応じて再インストールする。
◆暫定処置:
一般的に悪意のあるコードが他のコンピューターに拡散する際に用いるファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。
通常のオペレーションでWSH(Windows Scripting Host)が不要な場合、それをコンピューターから削除する。WSHが必要なコンピューターでは、VBSファイルの自動実行を防ぐため、VBSをスクリプトエディターに関連づけるか、または関連づけを完全に削除する。
全ファイル転送をブロックするようにIRCプログラムを構成する。
◆ベンダー情報:
現在、セントラルコマンド社のアンチウイルスソフトウェアは、この悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてこのBrazilを検知できる可能性がある。
※この情報はアイ・ディフェンス・ジャパン
( http://www.idefense.co.jp/ )より提供いただいております。
アイディフェンス社の iAlert サービスについて
http://shop.vagabond.co.jp/p-alt01.shtml
情報の内容は以下の時点におけるものです。
【15:26 GMT、06、26、2002】
《ScanNetSecurity》
