futuremix

ファイル共有ソフト Winny を介して新種のワームが広がっているそうです。
exe ファイルや HTML ファイルを開くことで感染するようです。
長いファイル名、二重拡張子、アイコンの偽装など、ソーシャルエンジニアリングを利用して巧みにダブルクリックさせ、拡散しているようです。
日本独自のウィルスのためか、ウィルス対策ソフトの対応も遅れたようで、かなりの被害が出ているようです。

特徴的なのは、破壊活動をするのではなく、感染したパソコンのデスクトップ画面をキャプチャした上で、デスクトップ上のファイルを圧縮して、Winny のファイル共有ネットワークにアップロードしてしまうことです。またその際に、ファイル名が次のようになります。

[キン○マ] 俺のデスクトップ ユーザー名（企業名） [日付].jpg
[キン○マ] 俺のデスクトップ ユーザー名（企業名） [日付]（ファイル詰め合わせ）.zip
[キン○マ] 俺のデスクトップ ユーザー名（企業名） [日付]（ファイル詰め合わせ）.lzh

（○は伏せ字です。）このファイル名から、別名キ○タマウィルス(-_-#)と呼ばれているそうです。トレンドマイクロでは、WORM_ANTINNY.B
と名付けられているそうです。破壊活動の有無: なし、なのに、ダメージ度:高なのは、個人情報などが流出してしまうダメージのことでしょうかね。

すでに感染してしまったパソコンの画像などから個人情報が流出しているようですが、Winny ユーザの傾向からか、違法ソフトを利用しようとしている画面などが公開されてしまった人もいるようです。まあ、自業自得なのですが。

ちなみにこのワームは、Winny の共有ファイルリストを、メールや IM を使って無差別に送信するようなロジックが入っているそうです（実際に動作しているかどうかの詳細は不明）。ただしメールを利用しての感染は行なわないようです。この手のウィルスが Winny だけではなく、メールを介して企業などで広まると、もっと大変なことになるのではないでしょうか。

ものが Winny だけに、後ろめたい目的で使っている人も多いと推測されます。
そのため感染しても他人に相談したり、管理者に報告するのが遅れる可能性があります。
また下品なファイル名をつけることにより正確な報道が妨げられるおそれがあります。
実際に INTERNET Watch の記事などでも、詳しい情報が公開されていません。
情報が伝わりにくくなることは、ウィルスからすれば蔓延する時間が稼げることになります。

これらがワーム作者の意図していたことなのかは分かりませんが、ソーシャルエンジニアリングを駆使していることなどとあわせて考えても、相当考えられた作りになっていると思います。

関連情報

• Winnyウィルス
• W32.AntiWinny.kintama(仮)
• Winnyウィルスリンク集
• INTERNET Watch:Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される
• Slahdot Japan:Winnyユーザを恐怖に陥れるAntinny.Bワーム

3月17日追記

このワームはレジストリを書き換えて自動起動するようになりますが、感染するとレジストリエディタ(regedit.exe)がメモ帳(notepad.exe)で上書きされるため、手作業での修復がかなり困難なようです。

このウィルスと、Antinny.B は別物だという情報もあります。
また、キン○マウィルスにも複数種あるようですが、亜種なのか、擬態かは分かりません。

3月18日追記

情報が錯綜していますが、日経ITPro の記事によると、Antinny.B とキン○マウィルス（はやく正式名称を決めて欲しい）は異なるようです。

トレンドマイクロ アンチウイルスセンターの西山健一ウイルス解析者によると「新種ウイルスはAntinny.Bとは異なる」という。さらに，「新種ウイルスには変種が複数存在するようだ。今後，変種がさらに増える可能性は高い」（西山氏）

Norton Antivirus の 3月16日以降の定義ファイルでは、一部のキン○マウィルスを検出できるそうですが、亜種が8種類あり、すべてに対応しているわけではなさそうです。