• オンライン購入
  1. /
  2. セキュリティレスポンス/
  3. W32.Changeup
  4. W32.Changeup
  • ブックマーク

W32.Changeup

危険度2: 低

発見日:
2009 年 8 月 18 日
更新日:
2014 年 8 月 21 日 1:09:32 AM
別名:
Win32/VBObfus.GH [NOD32], W32/VBNA-X [Sophos], WORM_VOBFUS [Trend], Win32/Vobfus.MD [Microsoft], Trj/CI.A [Panda Software], W32/Autorun.worm.aaeh [McAfee], Worm.Win32.VBNA.b [Kaspersky], Gen:Variant.Symmi.6831 [F-Secure], TrojanDownloader:Win32/Beebone.gen!A [Microsoft], Mal/Beebone-A [Sophos]
種別:
Worm
感染サイズ:
128,000 バイト
影響を受けるシステム:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
CVE 識別番号:
CVE-2010-2568
W32.Changeup は、リムーバブルドライブとマップされたドライブを介して拡散するワームです。また、「Microsoft Windows Shortcut 'LNK' Files Automatic File Execution Vulnerability」(BID 41732) (英語) を悪用することにより拡散する可能性があります。 このワームは、特定のファイル共有プログラムを介して拡散することもあります。

このワームは、侵入先のコンピュータに追加の脅威やミスリーディングアプリケーションをダウンロードします。

感染
このワームは、リムーバブルドライブとマップされたドライブを介して拡散します。また、Windows の自動実行 (AutoRun) 機能を使って自動的に実行されます。

このワームは、侵入先のコンピュータに複数の .lnk ファイルを作成し、「Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732)」(英語) を悪用して拡散します。

また、このワームは侵入先のコンピュータにファイル共有プログラムをインストールし、ファイル共有に誘導するために選択された複数の名前を使用して、その共有フォルダに自分自身をコピーすることにより拡散しようと試みます。


機能
この脅威の主要機能は、侵入先のコンピュータに追加のマルウェアをダウンロードすることです。この脅威の作成者は、マルウェアを配布して金儲けをしようと試みるアフィリエイトに関連している可能性があります。


ポリモーフィズム
このワームは、ファイルのダウンロード元となる URL を動的に生成することによりポリモーフィズムを実現します。また、このワームは侵入先のコンピュータに自分自身のコピーを多数作成しますが、各コピーには複数の一意的に変更されたバイトが含まれます。これは、ファイルハッシュに基づくシンプルで静的なウイルス対策の検出を回避しようとする試みによるものです。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。







感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。





シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ

ウイルス対策 (ヒューリスティック/汎用)

ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


侵入防止システム (英語)
HTTP W32 ChangeUp Worm Activity
System Infected: W32.Changeup Worm Activity
System Infected: W32.Changeup Worm Activity 2
System Infected: W32.Changeup Worm Activity 3


自動実行と W32.Changeup
リムーバブルドライブまたはネットワークドライブ上にある autorun.inf ファイルが参照するアプリケーションの実行を制御できるように、特別な措置を講じることを強く推奨します。このワームのような脅威は、しばしばこの手段を使って他のコンピュータに拡散しようと試みます。コンピュータの設定を変更することによって、新しい脅威による侵害の危険性を限定できます。

詳細については、次の文書を参照してください。
自動再生機能を使用して CD-ROM や USB メモリなどからウイルスが拡散することを防ぐ方法


Symantec Endpoint Protection - アプリケーションとデバイス制御
シマンテックセキュリティレスポンスは、この脅威に関連するアクティビティからコンピュータを保護するために Symantec Endpoint Protection のアプリケーションとデバイス制御 (ADC) ポリシーを開発しました。 アプリケーションとデバイス制御ポリシーを利用すると、コンピュータに対する脅威の感染リスクを軽減し、不用意なデータの削除を回避し、コンピュータ上で実行するプログラムを制限することができます。

このアプリケーションとデバイス制御ポリシーは、あるコンピュータから他のコンピュータに拡散する能力を低下させたり排除することができるため、この脅威のアウトブレーク発生時の対応に利用することができます。ネットワーク内でこの脅威がアウトブレークした場合、このポリシーをダウンロードしてください。

ポリシーを使用するには、この文書 (英語) を参照して、Symantec Endpoint Protection Manager に .dat ファイルをインポートしてください。クライアントコンピュータに配布する場合は、このポリシーによる通常のネットワークおよびコンピュータ使用への影響を確認するために、最初にテスト (ログのみ) モードを使用することを推奨します。一定期間ポリシーを観察し、環境への影響を確認した後、実働モードでポリシーを配備し、アクティブ保護を有効にします。

詳細については、次の文書を参照してください。「Preventing viruses using "autorun.inf" from spreading with "Application and Device Control" policies in Symantec Endpoint Protection (SEP) 11.x」(英語)

アプリケーションとデバイス制御ポリシー、および組織内での配備方法に関する詳細については、「Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド」(PDF) を参照してください。

注意: 上記のアプリケーションとデバイス制御ポリシーは、脅威のアウトブレークに対して使用するためにシマンテックセキュリティレスポンスで開発されました。このような状況では役立ちますが、制約的な性質上、通常業務に影響を及ぼす可能性があります。

さまざまな対策を実施して、ご使用の環境のセキュリティを強化することを推奨します。「Symantec Endpoint Protection - ベストプラクティス」を参照してください。

ウイルス対策日

  • Rapid Release 初回バージョン2009 年 8 月 17 日 リビジョン052
  • Rapid Release 最新バージョン2015 年 3 月 3 日 リビジョン008
  • Daily Certified 初回バージョン2009 年 8 月 17 日 リビジョン054
  • Daily Certified 最新バージョン2015 年 3 月 3 日 リビジョン020
  • Weekly Certified 初回リリース日2009 年 8 月 19 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。

危険性の評価

被害状況

  • 被害レベル:Low
  • 感染台数:50 - 999
  • 感染報告数:3 - 9
  • 地域危険度:Low
  • 対処レベル:Easy
  • 駆除:Easy

ダメージ

  • ダメージレベル:Medium
  • 発病症状:侵入先のコンピュータに追加の脅威をダウンロードする

感染力

  • 感染力レベル:Medium
  • 共有ドライブ:リムーバブルドライブとマップされたドライブを介して拡散する
  • 感染対象:リモートから悪用可能な脆弱性
    ファイル共有プログラム
Note: On May 14, 2015, modifications will be made to the threat write-ups to streamline the content. The Threat Assessment section will no longer be published as this section is no longer relevant to today's threat landscape. The Risk Level will continue to be the main threat risk assessment indicator.
記述:Éamonn Young, Hatsuho Honda, and Henry Bell
危険性の評価| テクニカルノート| 駆除方法
スパムレポート