Video Screencast Help
Security Response

W32.Changeup の脅威の詳細

Created: 27 Jul 2010 11:24:06 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

はじめに
この 2 週間ほど話題が集中していたのは、SCADA システムに接続し、パッチ修正前の脆弱性を利用して拡散するという性質を持つ W32.Stuxnet でした。しかし、1 カ月ほど前から全世界で、特に企業環境で感染件数の急増が確認されているのは、W32.Changeup です。



図 1: W32.Changeup の拡散状況



図 2: W32.Changeup.B の拡散状況


図 3: W32.Changeup.C の拡散状況

W32.Changeup が最初に出現したのはおよそ 1 年前です。他の脅威と比べて目立った機能はなかったため、特に注目を浴びることはありませんでしたが、以下に説明するように、最近はその状況が変わってきました。

W32.Changeup はポリモーフィックワームであり、リムーバブルドライブやマップされたドライブに自身をコピーし、その過程で Backdoor.TidservTrojan.Sasfis、あるいはさまざまなミスリーディングアプリケーションをダウンロードします。

Trojan.Sasfis について詳しくは、当ブログの次のエントリで取り上げています。

Threat Brief for Trojan.Sasfis
(Trojan.Sasfis の脅威の概要)
Trojan.Sasfis: A Closer Look(Trojan.Sasfis の詳細)

Trojan.Sasfis と W32.Changeup は、どちらも Visual Basic で書かれています。Visual Basic で複雑な動作を実装するには高度なスキルが必要になるため、Visual Basic で書かれた脅威は一般的に機能が限られているものですが、このような脅威の解析が、セキュリティ研究者にとって大きな頭痛の種になる場合もあります。

目的
W32.Changeup の主な目的は、コンピュータに侵入した後で Backdoor.Tidserv などの脅威やミスリーディングアプリケーションをダウンロードし、拡散させることにあります(Trojan.Sasfis の目的もまったく同じです)。W32.Changeup を封じ込めるのはごく簡単ですが、その道連れ(弟子、かもしれません)はそうではありません。Backdoor.Tidserv はリモートコマンドを受信するバックドアを開き、それが侵入先のコンピュータにさらに被害をもたらします。

拡散
W32.Changeup は通常、.exe または .src ファイルの形式であり、名前はランダムです。当初、W32.Changeup は特別な拡散方法を採用せず、リムーバブルドライブやマップされたドライブに自身をコピーし、Windows の AutoRun 機能を使って自動的に実行されていました。ところが、最近になって W32.Changeup は、拡散手段として「Microsoft Windows Shortcut 'LNK' Files Automatic File Execution Vulnerability(Microsoft Windows のショートカット 'LNK' ファイルに存在するファイル自動実行の脆弱性)(BID 41732)」を備えるようになりました。シマンテックは、この亜種を W32.Changeup.C として検出します。

機能
W32.Changeup で特筆すべき特徴のひとつが、そのポリモーフィック機能です。コンピュータに感染するために、W32.Changeup は標的とするコンピュータに自身をコピーし、自身を変化させます。ポリモーフィックエンジンは、自身のモジュールとフォーム名、フォーム内の画像、そしてリソースセクションのファイル名を、実行されるたびに変更します。興味深いのは、ここで言う「画像」が実際には暗号化されたワームのデータであり、実際の画像ではないということです。ポリモーフィックアルゴリズムについては、現在シマンテックで調査しています。W32.Changeup 自身には、拡散して他の脅威をダウンロードする以外の機能はありません。

被害
W32.Changeup は、それ自体で大きな被害をもたらすことはなく、悪質な同類を呼び寄せる機能を果たしています。シマンテックでは、隔離された安全なネットワーク環境で W32.Changeup のいくつかの亜種を実行し、以下のような結果を確認しました。

ケース 1
W32.Changeup は、感染後に 2 つのファイルをダウンロードしました。その日のうちはしばらく動きを見せませんでしたが、その後、感染したコンピュータが突然、感染のさまざまな兆候を示し始めました。画面の右下隅に、忌まわしいポップアップが表示されました。システムがマルウェアに感染したと警告し、それを除去するためにウイルス対策ソフトウェアをダウンロードするよう促すものですが、これはもちろん、ミスリーディングアプリケーションの典型的な手口です。ミスリーディングアプリケーションのダウンロード後に、他のマルウェアがダウンロードされた形跡はありませんでした。

ケース 2
W32.Changeup は、Backdoor.Tidserv と Downloader.MisleadApp をダウンロードし、それがさらにミスリーディングアプリケーションをダウンロードしました。


図 4: Nmugoa.exe が Downloader.MisleadApp、Ntd.exe がミスリーディングアプリケーション。

ケース 3
場合によって、W32.Changeup は侵入先のコンピュータに壊滅的な損害をもたらすことがあります。ダウンロードされたマルウェア Backdoor.Tidserv と他のいくつかの脅威が CPU リソースの 90% 以上を占有し、その後すぐにシステムがクラッシュして死のブルースクリーン状態になりました。

注意: これは W32.Changeup のすべての亜種に当てはまるわけではありません。多くの場合、死のブルースクリーンが発生する原因はダウンロードされた脅威であり、W32.Changeup ではありません。

ネットワーク通信
W32.Changeup は、追加のマルウェアをダウンロードするために複数の URL にアクセスするのが普通です。W32.Changeup はカスタマイズ性が高いので、亜種が内包する URL もさまざまです。

Changeup の一部の亜種は、複数のダウンロードチェーンを開始することができます。次の図は、そのようなチェーンの一例です。

上の図のように、Changeup がさまざまな URL から他のマルウェアをダウンロードし、ダウンロードされたそのマルウェアがさらに別のマルウェアやミスリーディングアプリケーションを侵入先のコンピュータにダウンロードします。

保護
ウイルス対策

 

IPS
HTTP_W32_CHANGEUP_WORM_ACTIVITY

対処方法
W32.Changeup は、リモートサイトから別のマルウェアをダウンロードするので(しかも、ダウンロードされた脅威がさらに別の脅威をダウンロードするので)、一般的なオンラインセキュリティの習慣に加え、ネットワークログで疑わしい URL や不明なURL は遮断することをお勧めします。リムーバブルドライブ上の実行可能ファイルが自動的に起動されないように、Windows の AutoRun 機能は無効にしてください。リムーバブルドライブも、必要のないときには取りはずすようにし、書き込みアクセスが不要なときには読み取り専用モードのオプションがあれば有効にします。

結論
W32.Changeup は、Backdoor.Tidserv や Trojan.Sasfis、ミスリーディングアプリケーションなどさまざまな脅威をできるだけ多くのコンピュータに送りつけようとする郵便配達員のようなものです。設定の自由度も高いため、事実上、ウイルス作成者が望むどんなものでもダウンロードさせることができ、W32.Changeup の感染が次々と感染の連鎖を生む可能性があります。したがって、W32.Changeup 自体はそれほど複雑な脅威ではないとしても、きわめて致命的な影響が及ぶかもしれません。

この脅威の技術的な解析に協力してくれた中山雄克氏と篠塚大志氏に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。