Verschillende anti-virusbedrijven waarschuwen voor een Windows-worm die zich in rap tempo via USB-sticks verspreidt. Het gaat om de in Visual Basic geschreven Changeup-worm die al sinds halverwege 2009 actief is. De afgelopen week werd er een stijging van het aantal infecties waargenomen, wat het gevolg van een nieuwe variant van de malware is, aldus Symantec.

Eenmaal actief installeert Changeup aanvullende malware op de pc. De aanvullende malware kan bestaan uit de Tidserv backdoor, maar ook het installeren van nep-virusscanners behoort tot de mogelijkheden. Verder installeert Changeup een Downloader Trojan die wederom aanvullende malware downloadt en installeert.

Tevens kopieert de worm zich naar op de computer aangesloten USB-sticks, externe harde schijven en andere datadragers en worden ook gedeelde netwerkmappen geïnfecteerd.

Autorun
Changeup verspreidt zich via de Autorun-functie van Windows, maar die staat sinds 2011 standaard uitgeschakeld voor alle ondersteunde Windows-versies. Anti-virusbedrijf Sophos merkt op dat de worm op gepatchte computers aanvullende social engineering toepast.

Op besmette USB-sticks en netwerkmappen plaatst het een kopie van zichzelf met de namen Porn.exe, Sexy.exe, Passwords.exe en Secret.exe en creëert het uitvoerbare bestanden met de namen van al aanwezige bestanden. Deze bestanden hebben een folder-icoon, waardoor het lijkt dat het om een map gaat.

Aangezien Windows bestandsextensies standaard niet laat zien, is het volgens Sophos goed mogelijk dat de worm hulp krijgt van klikgrage computergebruikers. Volgens een reactie op het ISC-blog zou de Australische mijnbouwgigant BHP Billiton hard door de worm zijn aangetroffen, maar dit is niet bevestigd. De meeste infecties bevinden zich volgens Symantec in de Verenigde Staten.