米Symantecは23日(米国時間)、新たなWinnyファイル共有ネットワーク利用者を標的とするウイルスが発生したことを、同社のBlog「Symantec Security Response Weblog」へのPostで公表した。サンプルが同社に提出されたことにより発覚したという。このウイルスには"Trojan.Pirlames"という名称が付与されている。

このウイルスは拡張子「.scr」(Windowsスクリーンセーバ)である一方で、大量のスペースをファイル名に使用することで.zipファイルに偽装しているという。同Blogによると、これはP2P-DESTROYER Pro(ウィキペディアの解説 )というツールによって、ファイル名偽装などの細工がなされているという。

感染時には下図をはじめとする複数の画像を表示するという。感染活動はこれにとどまらず、「C:\Program Files」配下のフォルダのファイルすべてを削除するという。さらに、以下の感染動作を行うとされる。

• 感染PCのIPアドレス(1)
• www.yahoo.co.jpへのtracertコマンド実行結果
• スクリーンショットの取得(2)

(1)ならびに(2)の情報を特定のFTPサイトに送信するのだという。

さらには、感染PCのHDDで以下の特徴をもつファイルを特定の画像で上書きするとしている。

• 拡張子のないファイル
• .txt、.jpg、.zipといった拡張子を持つファイル

図: 当該ウイルス感染時に表示される画像の例 出典: Symantec Security Response Weblog

これらの感染活動から推定すると、当該ウイルスはいわゆる「原田ウイルス」(ウィキペディアの解説)の亜種と思われる。