W32.Changeup

W32.Changeup は、リムーバブルドライブとマップされたドライブを介して拡散するワームです。また、「Microsoft Windows Shortcut 'LNK' Files Automatic File Execution Vulnerability」(BID 41732)(英語) を悪用することにより拡散する可能性があります。 このワームは、特定のファイル共有プログラムを介して拡散することもあります。

このワームは、侵入先のコンピュータに追加の脅威やミスリーディングアプリケーションをダウンロードします。

感染
このワームは、リムーバブルドライブとマップされたドライブを介して拡散します。また、Windows の自動実行 (AutoRun) 機能を使って自動的に実行されます。

このワームは、侵入先のコンピュータに複数の .lnk ファイルを作成し、「Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732)」(英語) を悪用して拡散します。

また、このワームは侵入先のコンピュータにファイル共有プログラムをインストールし、ファイル共有に誘導するために選択された複数の名前を使用して、その共有フォルダに自分自身をコピーすることにより拡散しようと試みます。


機能
この脅威の主要機能は、侵入先のコンピュータに追加のマルウェアをダウンロードすることです。この脅威の作成者は、マルウェアを配布して金儲けをしようと試みるアフィリエイトに関連している可能性があります。


ポリモーフィズム
このワームは、ファイルのダウンロード元となる URL を動的に生成することによりポリモーフィズムを実現します。また、このワームは侵入先のコンピュータに自分自身のコピーを多数作成しますが、各コピーには複数の一意的に変更されたバイトが含まれます。これは、ファイルハッシュに基づくシンプルで静的なウイルス対策の検出を回避しようとする試みによるものです。



地理的分布
シマンテックでは、この脅威について、次の地理的分布を観測しています。







感染率
シマンテックでは、この脅威について、次の感染レベルを観測しています。





シマンテックの保護対策の概要
シマンテックは、この脅威ファミリーに対する保護対策として次のコンテンツを提供しています。

ウイルス対策シグネチャ

• W32.Changeup
• W32.Changeup.B
• W32.Changeup.C

ウイルス対策 (ヒューリスティック/汎用)

• Packed.Generic.381
• Packed.Generic.385
  
• W32.Changeup!gen
• W32.Changeup!gen2
• W32.Changeup!gen3
• W32.Changeup!gen5
• W32.Changeup!gen6
• W32.Changeup!gen7
• W32.Changeup!gen8
• W32.Changeup!gen9
• W32.Changeup!gen10
  
• W32.Changeup!gen12
• W32.Changeup!gen13
• W32.Changeup!gen15
• W32.Changeup!gen16
• W32.Changeup!gen17
• W32.Changeup!gen18
• W32.Changeup!gen19
• W32.Changeup!gen20
• W32.Changeup!gen21
• W32.Changeup!gen22
• W32.Changeup!gen23
• W32.Changeup!gen24
• W32.Changeup!gen25
• W32.Changeup!gen26
• W32.Changeup!gen27
• W32.Changeup!gen28
• W32.Changeup!gen29
• W32.Changeup!gen30
• W32.Changeup!gen31
• W32.Changeup!gen32
• W32.Changeup!gen33
• W32.Changeup!gen34
• W32.Changeup!gen35
• W32.Changeup!gen36
• W32.Changeup!gen37
• W32.Changeup!gen38
• W32.Changeup!gen39
• W32.Changeup!gen40
• W32.Changeup!gen41
  

ブラウザ保護
シマンテック製品のブラウザ保護機能は、Web ブラウザを利用した感染の防御に効果を発揮します。


侵入防止システム (英語)
HTTP W32 ChangeUp Worm Activity
System Infected: W32.Changeup Worm Activity
System Infected: W32.Changeup Worm Activity 2
System Infected: W32.Changeup Worm Activity 3


自動実行と W32.Changeup
リムーバブルドライブまたはネットワークドライブ上にある autorun.inf ファイルが参照するアプリケーションの実行を制御できるように、特別な措置を講じることを強く推奨します。このワームのような脅威は、しばしばこの手段を使って他のコンピュータに拡散しようと試みます。コンピュータの設定を変更することによって、新しい脅威による侵害の危険性を限定できます。

詳細については、次の文書を参照してください。
自動再生機能を使用して CD-ROM や USB メモリなどからウイルスが拡散することを防ぐ方法


Symantec Endpoint Protection - アプリケーションとデバイス制御
シマンテックセキュリティレスポンスは、この脅威に関連するアクティビティからコンピュータを保護するために Symantec Endpoint Protection のアプリケーションとデバイス制御 (ADC) ポリシーを開発しました。 アプリケーションとデバイス制御ポリシーを利用すると、コンピュータに対する脅威の感染リスクを軽減し、不用意なデータの削除を回避し、コンピュータ上で実行するプログラムを制限することができます。

このアプリケーションとデバイス制御ポリシーは、あるコンピュータから他のコンピュータに拡散する能力を低下させたり排除することができるため、この脅威のアウトブレーク発生時の対応に利用することができます。ネットワーク内でこの脅威がアウトブレークした場合、このポリシーをダウンロードしてください。

ポリシーを使用するには、この文書 (英語) を参照して、Symantec Endpoint Protection Manager に .dat ファイルをインポートしてください。クライアントコンピュータに配布する場合は、このポリシーによる通常のネットワークおよびコンピュータ使用への影響を確認するために、最初にテスト (ログのみ) モードを使用することを推奨します。一定期間ポリシーを観察し、環境への影響を確認した後、実働モードでポリシーを配備し、アクティブ保護を有効にします。

詳細については、次の文書を参照してください。「Preventing viruses using "autorun.inf" from spreading with "Application and Device Control" policies in Symantec Endpoint Protection (SEP) 11.x」(英語)

アプリケーションとデバイス制御ポリシー、および組織内での配備方法に関する詳細については、「Symantec Endpoint Protection および Symantec Network Access Control 管理者ガイド」(PDF) を参照してください。

注意: 上記のアプリケーションとデバイス制御ポリシーは、脅威のアウトブレークに対して使用するためにシマンテックセキュリティレスポンスで開発されました。このような状況では役立ちますが、制約的な性質上、通常業務に影響を及ぼす可能性があります。

さまざまな対策を実施して、ご使用の環境のセキュリティを強化することを推奨します。「Symantec Endpoint Protection - ベストプラクティス」を参照してください。