キタキタついにきましたね。Winnyをターゲットにしたウィルスというかワーム"W32_HLLW_Antinny"です。今までもKazaaなどのP2Pファイル交換ソフトをターゲットにした物はありましたが，Winnyは国産で海外での利用もほとんど無い為，直接Winnyをターゲットにした物はありませんでした。挙動としては，これが実行されると次の８項目の事が行われる用です。

• • • • • • • • • • • • • • • • • • • -

１．「圧縮(Zip形式)フォルダは無効であるか、または壊れています」というダイアログが表示
２．Windowsで設定されているテンポラリフォルダにNy.exeとして自身をコピー
３．ランダムに選んだEXEファイル名にランダムな文字を加えて，そのフォルダに自分自身をコピー
４．HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runのレジストリに"ara-key" = "<３段階目でコピーされたファイル名>"を追加。これによりWindows起動時に自動起動でコピーされたワームが実行される事になります。
５．WinnyのDownフォルダ内のファイルのファイル名からランダムに名前を生成するか，これ自身が保有しているキーワードリストからファイル名を生成して自身をコピー
６．自分自身をLZH形式で圧縮し、Upフォルダに置く
７．Winnyのキャッシュフォルダ内を全て削除
８．Windowsフォルダ内のWin.iniに以下の記述を追加
[ぬるぽ]
ぬるぽ=C:\Winny2\

• • • • • • • • • • • • • • • • • • • -

　８を見ればわかる通り，2ch出身のP2Pファイル交換ソフトには2ch出身のワームって事でしょうか。また５で使用されるキーワードリストというのが「めがねっ娘，触手，ガンダム，月姫，伊集院光，モーニング娘。」などなど，大凡シマンテックのページには合わない単語が並んでいるのも面白いところです。やはり，”ワーム”だけに”触手”なのでしょうか？
　感染経路としては，Winny経由で落としてきた実行ファイルor圧縮ファイル(解凍すると実行ファイル)になるので，怪しいファイルには触らなければ問題ありません。Winnyを起動しているだけで自分のマシンがワームにやられるという様な事は無いので，さほど過敏になる必要も無いでしょう。ただ，ファイル転送の中継という形で知らない間にキャッシュに入ってたりする可能性があるというのは，実害は無くても気分は悪いですね。
　被害としては，キャッシュフォルダーの消去と毎回起動時に１のダイアログが出てきてうっとおしいという事位でしょうか。どうせだったら，ACCSにIPアドレスと落としたファイル名を記載した自首メールを自動送信する位の茶目っ気があった方が，笑えるのですが，どうでしょう？
　感染しているかどうか確認する手段としては，感染したら１のダイアログが出てくるので確認もなにも無い様な気もしますが，もっとも簡単なのは８のWin.iniをエディター(ノートパッド等)で参照し，”ぬるぽ”で検索してかからなければ問題無しという事でしょうか。検索に引っかかっちゃった愚か者様は下記のページの駆除項目でも参照しましょう。

シマンテック(W32.HLLW.Antinny)
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.hllw.antinny.html