W32.Changeup は Visual Basic で書かれたポリモーフィックワームです。これが世界各地のシステムで最初に発見されたのは、2009 年中頃のことです。シマンテックではここ数年にわたり、この脅威のプロファイリングを行うとともに、拡散の目的やこの脅威の作られ方について説明してきました。
先週になって W32.Changeup の検出数が増加しましたが、その理由は、更新版の W32.Changeup が出回っているためです。
図. 過去 7 日間における更新版 W32.Changeup の検出数
W32.Changeup には余計なおまけが付いています。システムが W32.Changeup に感染すると、新たなマルウェアがインストールされる場合があります。脅威の種類は、Backdoor.Tidserv から Trojan.FakeAV、Backdoor.Trojan、Downloader Trojan までさまざまです。Downloader Trojan は、さらに別のマルウェアを侵入先のコンピュータにダウンロードします。
このワームは Windows の AutoRun 機能を利用して、自身をリムーバブルドライブやマップされたドライブにコピーします。さらに、最新バージョンのワームの場合は、自身のコピーを次の場所にもコピーします。
セキュリティレスポンスでは、ワームがこの機能を利用できないようにする手順を実行することを強くお勧めします。最新バージョンの W32.Changeup については、以下の対策が行われています。
ウイルス対策
侵入防止システム
System Infected: W32.Changeup Worm Activity
また、最新バージョンのワームは、コンピュータに侵入した後に以下のサーバーへのアクセスを試みることも判明しています。
サーバー
セキュリティレスポンスでは今後も W32.Changeup の監視を続け、亜種や関連するマルウェアへの対策を提供していきます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。