【詳細情報】NoBrainバッチファイルワームが発見 | ScanNetSecurity
2024.05.04(土)

【詳細情報】NoBrainバッチファイルワームが発見

◆概要:
 NoBrainは、マイクロソフト社Outlookアドレス帳にある全アドレスに悪意のある電子メールを送信し、KaZaAピアツーピア(P2P)ネットワークを介して拡散するバッチファイル大量メール送信型ワームである。NoBrainによって送信される電子メールの特徴は、以下の

国際 海外情報
facebookLINE
◆概要:
 NoBrainは、マイクロソフト社Outlookアドレス帳にある全アドレスに悪意のある電子メールを送信し、KaZaAピアツーピア(P2P)ネットワークを介して拡散するバッチファイル大量メール送信型ワームである。NoBrainによって送信される電子メールの特徴は、以下の通り。

Subject: Nude pics
Message: I attached a zip file with nude pics of jlo.Hope you enjoyed it
Attachment: jlo_nude.ZIP.bat (48,899 bytes)

 悪意のある添付ファイルが実行されると、NoBrainはユーザーからの管理を受けずに攻撃者の思惑通りに拡散しマウスとキーボードを無効にする。実行されると、C:ドライブでbrainless.batをチェックし、このファイルが存在しない場合はこのファイル名を使って自己コピーをC:ドライブに作成する。この際、存在を隠蔽するため、隠しファイルとしての属性を使用する。さらに、C:ドライブに新しい「werm」というディレクトリーを作成し、このディレクトリー内に以下のような自己コピーを複数作成する。

o adious_is_great.TXT.bat
o linkin_park_Crawling.MP3.bat
o XXX_teen_blowjobs.AVI.bat
o jlo_nude.ZIP.bat
o rrlf_is_god.TXT.bat
o wermEris_has_owned_you.TXT.bat
o wermXXX_girls_with_huge boobs.GIF.bat
o donkey_ass.JPEG.bat
o hot_pam_pictures.GIF.bat

 検出されるのを避けるため、アンチウイルスソフトウェアに関する次のファイルの削除を試みる。

o C:Program Filesorton~1s32integ.dll
o C:Program Filesf-prot95fpwm32.dll
o C:Program Filesmcafeescan.dat
o c: bavw95 bscan.sig
o c: bav bav.dat
o C:Program Files bav bav.dat
o C:Program Filesavpersonalantivir.vdf

 ローカルコンピューターにKaZaA P2Pファイル共有ネットワークがインストール済みの場合は、このネットワークを介してワームを共有するために、Windowsのレジストリが変更される。

HKCUSoftwareKazaaLocalContent
DisableSharing=dword:00000000

HKCUSoftwareKazaaLocalContent
DownloadDir=C:\Program Files\KaZaA\My Shared Folder

HKCUSoftwareKazaaLocalContent
Dir0=012345:c:\

 Windowsの起動時にワームを実行するように、win.iniも以下のように変更される。

[windows]
load=C:rainless.bat
run=
NullPort=None

 コンピューターにIRCが存在する場合は、IRCを介して、感染ユーザーに「sex」という単語の送信と同時に、以下のメッセージも送信するようにScript.iniが変更される。

Hi,I don't mean to disturb you,but i got some teen sex videos for you to see and i'm sending you them...have fun.

 さらに、NoBrainはリモートユーザーに対してjlo_nude.ZIP.bat及びXXX_teen_blowjobs.AVI.batのアップロードを試みる。

 PIRCHを介してワームを拡散するため、Events.iniも変更される。これにより、ワームがPIRCHと共にメモリーで実行されるようになる。さらに、感染ユーザーから同じチャンネルにいる他のユーザーにも自己コピーがアップロードされる。又、ファイル名brainless.batを使って自己コピーのアップロードを試みる。

 NoBrainはOutlookアドレス帳にある全アドレスへの大量メール送信し、WindowsのSystemディレクトリーにmmailer.vbsを作成する。

 以下のメッセージを起動時に表示し、Autoexec.batが変更される。

00000000000000000000000000
If you get this virus,then your just
BRAINLESS!!!!
ECHO is off.
bat.brainless
the return of the dreaded DOS batch virus
the creation of the labs of adious [rRlf]
00000000000000000000000000
Press any key to continue . . .

 現在のディレクトリー、つまりエンドユーザーによる元のバイナリファイルと同じディレクトリーにPayloadpicというファイルも作成される。さらに、wermディレクトリーにpayload.gifも作成される。この画像には、以下のテキストが含まれている。

NOW IT'S OK TO FUCK YOUR COMPUTER. :]
─=[bat.brainless]=─
By Adious [rRlf]
Greets:alcopaul [rRlf],philet0a$ter[rRlf]
,Kahuna [TKT],Raid,RoadKill,Gigabyte,real life
friendz IrFan [maggot],all in the vx scene
Fuck yous to:all the brainless IT club members in my school
(you all know who you ppl are..:] adious [rRlf] 2002 (c)
Adious [rRlf] signing off :)
21/10/02

 Windowsの起動時にpaylaod.gifを表示するように、Windowsのレジストリが以下のように変更される。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
msg=C:wermpaylaod.gif

 payloadとpaylaodの綴り上の違いにより、Windows起動時には、この画像は表示されない。ワームがメモリーで停止されると、再度マウスとキーボードが使用できるようになる。

別名:
BAT_NOBRAIN.A、NOBRAIN.A、NOBRAIN、bat.brainless、Brainless


◆情報ソース:
・Trend Micro Inc. (BAT_NOBRAIN.A, http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BAT_NOBRAIN.A&VSect=T ) , Oct. 31, 2002
・Trend Micro Inc. (VBS_NOBRAIN.A, http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_NOBRAIN.A&VSect=T ) , Oct. 31, 2002

◆キーワード:
 Worm: E mail Worm: Script
 Worm: Other

◆分析:
 (iDEFENSE 米国) NoBrainは、ジェニファー・ロペスのヌード画像を装うワームであると考えられる。政治的活動をするrRlfの悪意のあるプログラム作成グループのメンバーによって作成された可能性が高い。当該記事の掲載時点では、この新種の悪意のあるプログラムが一般に拡散しているとは考えられていない。

◆検知方法:
 上記のような電子メールとNoBrainによって作成される多くのファイル及びwermディレクトリーを探す。感染したコンピューターによって隠蔽ファイルとして自己をインストールするように構成しているため、NoBrainを検索時には、全ファイルを表示可能にしておくことが重要である。

◆リカバリー方法:
 NoBrainに関する全てのファイルおよびWindowsのレジストリキーを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。全てのアンチウイルス及びセキュリティ関連ソフトウェアの機能を検証する。又、KaZaA P2Pファイル共有ネットワークでワームのコピーが共有されていないかを確認する。

◆暫定処置:
 一般的に悪意のあるプログラムが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に管理し、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報:
 現在、トレンドマイクロ社のアンチウイルスソフトウェアで、この新しい悪意のあるプログラムへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてNoBrainを検知できる可能性がある。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【19:56 GMT、11、04、2002】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  7. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  8. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP