Een worm die zich via USB-sticks verspreidt heeft de afgelopen dagen duizenden Windows-gebruikers geïnfecteerd. Het gaat om de in Visual Basic geschreven Changeup-worm die al sinds halverwege 2009 actief is. De afgelopen week werd er een stijging van het aantal infecties waargenomen. Symantec heeft nu cijfers gepubliceerd waaruit blijkt dat er op 28 november meer dan 14.000 infecties waren.

"Over een periode van zes dagen hebben wen een sterke toename van het aantal detecties van Changeup gezien", aldus Symantec. Changeup verspreidt zich via de Autorun-functie van Windows, maar die staat sinds 2011 standaard uitgeschakeld voor alle ondersteunde Windows-versies. Om slachtoffers te misleiden past de worm daarom social engineering toe.

Op besmette USB-sticks en netwerkmappen plaatst Changeup een kopie van zichzelf met de namen Porn.exe, Sexy.exe, Passwords.exe en Secret.exe en creëert het uitvoerbare bestanden met de namen van al aanwezige bestanden. Deze bestanden hebben een folder-icoon, waardoor het lijkt dat het om een map gaat.

Malware
Eenmaal actief installeert Changeup aanvullende malware op de pc. De aanvullende malware kan bestaan uit de Tidserv backdoor, maar ook het installeren van nep-virusscanners behoort tot de mogelijkheden. Verder installeert Changeup een Downloader Trojan die wederom aanvullende malware downloadt en installeert.