対策ソフトにより検出率が異なるWinnyウイルス、ベンダー間で2割の開きも

ネットエージェントは国内外5種類のウイルス対策ソフトを使った、Winnyウイルスの検出調査を実施した。

[ITmedia]

　ネットエージェントは8月1日、Winnyを通じて感染を広げるWinnyウイルスに関する調査リポートを公開した。この調査によると、ウイルス対策ソフトによってWinnyウイルスの検出率が異なるという。

　Winnyウイルスは、感染したPC上のメールボックスや画像などのファイルをZIP形式の圧縮ファイルにしてWinnyネットワーク上に流出させるAntinnyがよく知られている。同社の調査では、Antinny系ウイルスにより作成されたと考えられるZIPファイルを対象に、そこに含まれる実行形式のファイル1860個を収集、国内外5種類のウイルス対策ソフト（商用3種類、非商用2種類）でスキャンを実施した。調査期間は、2007年5月25日から2007年7月24日までの約2カ月間。

　検査の結果、対策ソフトで検出されたファイルとネットエージェントがウイルスと判定したファイルを合計した360個が、ウイルスファイルとして検出された。

　この中で、2社の商用ウイルス対策ソフトの検出率を比較すると、国内ベンダーA社のソフトがファイル360個中、298個をウイルスファイルとして検出、約82％の検出率である一方で、国内ベンダーB社製ソフトは216個を検出して約60％の検出率だった。対策ソフトによって検出率が2割近く異なることになる。

　また、A社対策ソフトは検知したウイルスのうちの約31％をAntinnyとして検出、B社対策ソフトの場合は約90％だった。ベンダーA社の海外無料対策ソフトの場合、約89％の確率でウイルスファイルを検出し、そのうちの約56％をAntinnyとして検出した。

　さらに検出されたウイルスの中には、Winnyウイルスのほかにも、トロイの木馬やその他ウイルスが含まれている。

(表：ネットエージェント）

（1）総検体数1860個に対する総検知数

（2）ANTINNYとは、P2Pネットワーク型ファイル共有ソフト(主にWinny）を経由して感染し、情報の流出発生させるワーム型ウイルスの総称。ウイルスデータベースが公開されているベンダーのみ、ANTINNY系ウイルスの分類判断（殺人系ウイルス、仁義なき系ウイルス）を実施

（3）仁義なき系ウイルスは、PC内のOfficeドキュメント、OutlookやOutlook Expressのメールボックス、デスクトップ画像、デスクトップのファイルなどをZIP圧縮してアップロードを行う。流出したZIPファイル名の先頭には「仁義なき」といった特徴的なファイル名が付く。

（4）殺人系ウイルスは、感染すると設定ファイルを書き換え、PC内のOfficeドキュメント、OutlookやOutlook ExpressのメールボックスをZIP圧縮してアップロードを行う。流出したZIPファイル名の先頭には「殺人」または「[写真集][IV]」が付き、WinnyおよびShareに感染する

（5）その他ANTINNY系ウイルスは、ウイルス対策ソフトのベンダー情報では、明確に仁義なき系ウイルスまたは殺人系ウイルスとして分類されていないウイルス