1. Symantec/
  2. セキュリティレスポンス/
  3. W32.Changeup
  4. W32.Changeup
  • ブックマーク

W32.Changeup

危険度2: 低

発見日:
2009 年 8 月 18 日
更新日:
2015 年 6 月 8 日 4:45:41 AM
別名:
Win32/VBObfus.GH [NOD32], W32/VBNA-X [Sophos], WORM_VOBFUS [Trend], Win32/Vobfus.MD [Microsoft], Trj/CI.A [Panda Software], W32/Autorun.worm.aaeh [McAfee], Worm.Win32.VBNA.b [Kaspersky], Gen:Variant.Symmi.6831 [F-Secure], TrojanDownloader:Win32/Beebone.gen!A [Microsoft], Mal/Beebone-A [Sophos]
種別:
Worm
感染サイズ:
128,000 バイト
影響を受けるシステム:
Windows
CVE 識別番号:
CVE-2010-2568
1. 防御と回避
1.1 ユーザーの対処と予防策
1.2 オペレーティングシステムとソフトウェアへのパッチの適用
2. 感染方法
2.1 リムーバブルドライブ
2.2 リモートから悪用可能な脆弱性
2.3 ファイル共有プログラム
3. 機能
3.1 システムの変更
3.2 ネットワーク関連操作
3.3 その他の機能
4. 追加情報



1. 防御と回避
この脅威によるリスクを回避または最小限にするために、次のアクションを実行してください。


1.1 ユーザーの対処と予防策
未知のソースからのファイルを開いたり実行したりしないでください。また、不要な場合はリムーバブルドライブを切断することを推奨します。書き込みアクセスが不要な場合は、利用可能であれば読み取り専用モードを有効にします。

リムーバブルドライブ上で自動的に実行可能ファイルが起動されないように、AutoPlay 機能を無効にしておきます。追加情報については、次の記事を参照してください。「自動再生機能を使用して CD-ROM や USB メモリなどからウイルスが拡散することを防ぐ方法

不要な場合は、ファイル共有を無効にしてください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。また、ファイアウォールや IDS を利用して、バックドアサーバーとリモートクライアントアプリケーションとの通信をブロック、または検出します。


1.2 オペレーティングシステムとソフトウェアへのパッチの適用
オペレーティングシステムとインストール済みのソフトウェアに間違いなくパッチが適用されていて、ウイルス対策とファイアウォールソフトウェアが最新の状態で動作可能であることを確認してください。可能であれば自動更新を有効にし、ベンダーから最新のパッチや更新プログラムが配布されたときにコンピュータが受信できるようにしておきます。

この脅威は、特定の脆弱性を悪用して拡散することが確認されています。次の脆弱性 (英語) に対応したパッチを適用することにより、感染のリスクを軽減できます。
Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732)


2. 感染方法
このワームは、リムーバブルドライブとマップされたドライブを介して拡散します。また、次の脆弱性 (英語) を悪用することにより拡散します。
Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732)

このワームは、ファイル共有ネットワークを介した斬新な拡散手段を使用します。侵入先のコンピュータにファイル共有プログラムをインストールし、そのプログラムの共有フォルダに自分自身をコピーすることにより拡散します。

上記の技法については、次のセクションで詳細に説明します。


2.1 リムーバブルドライブ
W32.Changeup は、自動実行機能を使用して拡散します。これは、ドライブがアクセスされたときに自動的に実行可能ファイルを実行する Windows の機能の 1 つです。このワームは、リムーバブルドライブに、自分自身と autorun.inf という名前の設定ファイルをコピーします。autorun.inf はシンプルなテキストファイルで、ファイルの表示方法と実行のオプションを指定する情報が含まれています。これは、自動実行機能を有効にした他のコンピュータにリムーバブルドライブが挿入されたときに、このワームが拡散されることを意味します。

この記事 (英語) を参照してこの機能を無効にし、リムーバブルデバイスがコンピュータに挿入されたときに実行されないようにしておくことをお勧めします。また、最新バージョンの Windows や特定の更新プログラムを適用したシステムでは、デフォルトで非光学式リムーバブルドライブの自動実行機能が無効になっていることに注意してください。

リムーバブルドライブは、使用しないときは切断し、書き込みアクセスが不要なときは、読み取り専用モードのオプションを利用できる場合はそれを有効にします。


2.2 リモートから悪用可能な脆弱性

このワームは、侵入先のコンピュータに複数の .lnk ファイルをコピーします。コピーされたファイルは、次の脆弱性 (英語) を悪用して、この脅威を実行して拡散します。
Microsoft Windows Shortcut 'LNK/PIF' Files Automatic File Execution Vulnerability (BID 41732)


2.3 ファイル共有プログラム
ファイル共有プログラムを使用して他のコンピュータに拡散する脅威は多数存在します。通常、それらの脅威は、侵入先のコンピュータでファイル共有プログラムの共有フォルダを探し、見つかった場合はそのフォルダに自分自身をコピーします。その際、検索クエリーでよく使われる名前 (たとえば、人気のある海賊版ソフトウェア、ゲーム、またはクラック) を使って自分自身をコピーすることがよくあります。

一方、W32.Changeup はコンピュータに既存のファイル共有プログラムを探すのではなく、eMule という有名なファイル共有プログラムをインストールします。このワームが実行されたとき、Process Explorer でこのインストールが確認されます。





続いて、ユーザー検索で人気のある何万ものファイル名を模倣して、eMule のファイル共有フォルダに自分自身のコピーを作成します。それらのファイルは、ハードドライブの 1 GB に及ぶ容量を占有することもあります。





各コピーは、正規の setup.exe ファイルが含まれるように見える .zip ファイルとして保存されます。しかし、実際にはこのワームのコピーです。





また、各 .zip ファイルには、ファイルハッシュに基づいた静的なウイルス対策の検出を回避するために、ランダムなバイト数の複数の情報が含まれています。



3. 機能
この脅威の主要機能は、侵入先のコンピュータに追加のマルウェアをダウンロードすることです。

W32.Changeup は高度にカスタマイズが可能であるため、プログラムされたとおりに、さまざまな URL に接続して無数のマルウェアをダウンロードすることができます。

このワームは、ミスリーディングアプリケーションから、最終的にコンピュータをクラッシュさせて有名な「Blue Screen of Death (BSOD)」を表示するような複数のマルウェアコンポーネントまで、あらゆるものをダウンロードする可能性があります。

これまでに、次の脅威をダウンロードすることが確認されています。


場合によっては、このワームは連鎖的な複数のダウンロードを開始する可能性があります。たとえば、W32.Changeup はさまざまな URL から他のマルウェアをダウンロードする可能性があり、続いて、ダウンロードされたマルウェアが、追加のマルウェアやミスリーディングアプリケーションを侵入先のコンピュータにダウンロードする可能性があります。





注意: 関連する脅威による副次的な影響は、この文書には含まれません。


3.1 システムの変更
この脅威ファミリーによって侵害されたコンピュータ上では、次の副次的な影響が観測される可能性があります。


作成されるファイルまたはフォルダ
このワームが実行されると、次のロケーションに自分自身をコピーする可能性があります。
  • %UserProfile%\[現在のユーザー名].exe
  • %UserProfile%\Passwords.exe
  • %UserProfile%\Passwords.exe
  • %UserProfile%\Porn.exe
  • %UserProfile%\Sexy.exe
また、 RAR と Zip アーカイブを検索し、そのアーカイブに次のファイルとして自分自身を追加します。
Secret.exe

このワームは、すべてのリムーバブルドライブとマップされたドライブに、次のファイルとして自分自身をコピーします。
%DriveLetter%\[現在のユーザー名].exe

次にこのワームは次のファイルを作成し、上記のドライブがアクセスされたときに自分自身が実行されるようにします。
%DriveLetter%\autorun.inf


削除されるファイルまたはフォルダ
なし


変更されるファイルまたはフォルダ
なし


作成されるレジストリサブキーまたはレジストリエントリ
このワームは次のレジストリエントリを作成して、Windows が起動されるたびに自分自身が実行されるようにします。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[現在のユーザー名]" = "%UserProfile%\[現在のユーザー名].exe"


削除されるレジストリサブキーまたはレジストリエントリ
なし


変更されるレジストリサブキーまたはレジストリエントリ (最終値)

このワームは次のレジストリエントリを改ざんして、侵入先のコンピュータで自身の存在を隠してマイクロソフトの自動更新を無効にします。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\"NoAutoUpdate" = "1"


3.2 ネットワーク関連操作
この脅威は次のネットワーク関連操作を実行する可能性があります。


ダウンロード
このワームは、侵入先のコンピュータに追加のマルウェアをダウンロードするために、次のリモートロケーションにポート 7005、8003、9002、または 9004 を使って接続しようと試みる可能性があります。
  • ns1.thepicturehut.net
  • ns2.thepicturehut.net
  • ns3.thepicturehut.net
  • ns4.thepicturehut.net
  • ns1.player1253.com
  • ns1.videoall.net
  • ns1.mediashares.org
  • ns1.helpchecks.net
  • ns1.helpupdater.net
  • ns1.helpupdates.com
  • ns1.helpupdates.net
  • ns1.couchness.com
  • ns1.chopbell.net
  • ns1.chopbell.com
  • ns1.helpupdated.net
  • ns1.helpupdated.org
  • ns1.helpupdatek.at
  • ns1.helpupdatek.eu
  • ns1.helpupdatek.tw
  • existing.suroot.com
  • 22231.dtdns.net
  • ns1.helpchecks.com
  • ns1.timedate[1-3].com
  • ns1.timedate[1-3].net
  • ns1.timedate[1-3].org
  • ns1.datetoday[1-3].com
  • ns1.datetoday[1-3].org
  • ns1.datetoday[1-3].net

また、このワームは、次の形式でダウンロードされる文字列に指定されたリモートロケーションに接続しようと試みる可能性があります。
http://code[中略]:999/[ファイル名 1] [ファイル名 2]

上記の文字列は、このワームに次のロケーションから [ファイル名 1] のファイルをダウンロードするように命令します。
code[中略].net through TCP port 999

次に、そのファイルを [ファイル名 2] という名前のファイルとして保存します。保存ファイル名は、このホストが接続されるたびにランダムに変化します。


3.3 追加の機能
W32.Changeup は、コンピュータに感染するたびに、このワームのコード内の情報を復号するためのキーとして、ランダムな文字列を使います。この処理により、このワームは URL を保存するのではなく、動的に生成することができます。これは、サーバーのアドレスを解析されにくくするために行われる可能性もあります。





続いて、このワームはサーバーに接続して侵入先のコンピュータに追加のファイルをダウンロードします。

自分自身のコピーを作成するたびに、このワームは新しいファイル内の特定のバイトの値を変更します。この変更により、ファイルサイズは変化しませんが、そのコピーはハッシュ値が異なることになります。これは、ファイルハッシュに基づくシンプルで静的なウイルス対策の検出を回避しようとする試みによるものです。



4. 追加情報
この脅威ファミリーに関連する追加情報については、次のサイトを参照してください。
W32.Changeup に関するブログエントリ

推奨する感染予防策

シマンテックセキュリティレスポンスでは、すべてのユーザーと管理者の皆様に対し、基本的なオンラインセキュリティ対策として日常的に次のことを実行することを勧めています。

  • ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否してください。
  • パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
  • コンピュータのユーザーとプログラムには、タスクの実行に必要な最小レベルの権限を付与します。ルートまたは UAC パスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認してください。
  • 自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断してください。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
  • ファイル共有が不要な場合は、設定を解除してください。ファイル共有が必要な場合は、ACL とパスワード保護機能を使用してアクセスを制限します。共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
  • 不要なサービスは、停止するか削除します。オペレーティングシステムによって、特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することによって、攻撃の危険性を軽減できます。
  • ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしてください。
  • 常に最新の修正プログラムを適用するようにしてください。公開サービスのホストコンピュータや、 HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なコンピュータでは特に注意が必要です。
  • .vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定します。
  • ネットワークに接続しているコンピュータが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
  • 予期しない添付ファイルは開かないようにしてください。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害された Web サイトにアクセスするだけで感染することがあります。
  • 携帯デバイスで Bluetooth が不要な場合は、オフにしてください。必要な場合は、他の Bluetooth デバイスにスキャンされないように、表示属性を「Hidden」に設定します。 デバイスのペアリング機能を使用する必要がある場合は、すべてのデバイスが、接続時にユーザー認証を必要とする「Unauthorized」に設定されていることを確認してください。署名されていない、または未知のソースから送信されたアプリケーションは利用しないでください。
  • この文書で使用されている用語の詳細については、用語解説を参照してください。
記述:Éamonn Young, Hatsuho Honda, and Henry Bell
危険性の評価| テクニカルノート| 駆除方法
スパムレポート
2016 年インターネットセキュリティ脅威レポート第 21 号
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube