Benjamin-virus heeft het op KaZaA gemunt
Nieuwe worm vermomt zich als film, game of software
21 mei 2002 | Jamie Biesemans
De nieuwe worm Benjamin richt zijn pijlen op mensen die bestanden downloaden via KaZaA. Door zich voor te doen als populaire game of een applicatie dringt de worm een pc binnen, waarna hij stelselmatig bandbreedte en plaats op de harde schijf opslorpt.
Benjamin is niet zo eenvoudig te onderscheiden van reguliere downloads. Dat komt omdat de worm vele verschillende bestandsnamen kan aannemen, waaronder 'Age of Empires-Games-full-downloader', 'Acrobat Capture 3.0-full-downloader', 'American Pie 2 - divx - full - downloader' en 'Metallica - Blackened'. Ook de grootte van het bestand is variabel, omdat het virus bij elke infectie extra gegevens aan zichzelf bijvoegt. De oorspronkelijke omvang van de worm is 216 KB.
Die omvang stelt oplettende gebruikers gelukkig in de gelegenheid om Benjamin te identificeren: DiVX-films en games zijn doorgaans namelijk vele tientallen of honderden megabytes groot. Grote kans dat een bestand van enkele honderden KB's dat pretendeert een applicatie of een multimediabestand te zijn, in feite de malafide worm betreft.
De besmetting begint nadat een gebruiker het gedownloade bestand uitvoert. Op het scherm verschijnt dan een waarschuwingsvenster met de tekst 'Access Error #0317:94574: Invalid pointer operation File possibly corrupted'.
Benjamin is daarmee echter niet gecrashed. Achter de schermen kopieert het zichzelf op dat moment reeds naar de System-folder van Windows (als
EXPLORER.SCR), en zorgt het voor aanpassingen in de Registry om ervoor te zorgen dat het virus altijd samen met Windows start. Er wordt bovendien een nieuwe folder gecreëerd en gedeeld met iedereen op het KaZaA-netwerk. Hierin kopieert het virus zichzelf vele honderden malen, telkens onder een andere naam. Zo ontstaat een nieuwe infectiebron voor andere KaZaA-gebruikers.
Het virus probeert tenslotte een advertentiebanner te openen op het adres
benjamin.xww.de. Die site is ondertussen door de provider afgesloten, zodat slechts het volgende bericht verschijnt: "Domain aufgrund von massiven Beschwerden gesperrt."
Op zich doet Benjamin niets destructiefs. Door veel kopieën van zichzelf te installeren neemt het echter veel ruimte op de harde schijf in beslag. Gebruikers zien daarnaast hun bandbreedte terugvallen, omdat andere KaZaA-gebruikers naar hun pc worden geleid voor het downloaden van de worm.
Ondertussen hebben de meeste makers van antivirusprogramma's een update klaargestoomd die het virus aanpakt. Maar sowieso is het aan te raden om alle bestanden die u via een ruilnetwerk binnenhaalt, eerst te laten onderzoeken door een virusscanner.
Lees meer artikels over :
kazaa, virus
bron: ZDNet
