Duload-virus mikt op KaZaA-gebruikers
Vermomd als naakfoto's of Xbox-hack
23 augustus 2002 | Jamie Biesemans
Het populaire ruilprogramma KaZaA is eens te meer het doelwit van een virus. In het kielzog van Benjamin en KWBot biedt het Duload-virus zich aan als een aantrekkelijke download, die echter een onaangename lading bevat. Gelukkig blijft de schade beperkt.
Door zichzelf een valse naam te geven, maakt Duload zich aantrekkelijk voor mensen die via KaZaA zoek gaan naar illegale media of naaktfoto's. Volgens virusbestrijder McAfee kan het wormvirus veertig namen aannemen, waaronder Alicia Silverstone Payboy Nude.exe, Kama Sutra Tetris.exe, Ps2 Emulator.exe, Soldier Of Fortune 2 Mutiplayer Serial Hack.exe of Xbox Emulator.exe. Een volledige lijst vind je
hier terug.
De vermomde bestanden zijn te herkennen omdat ze altijd een lengte hebben van 18 KB. Het zijn bovendien altijd uitvoerbare exe-bestanden, waardoor je alvast weet dat het wellicht geen beeld- of videobestanden zijn. Gelukkig vindt besmetting pas plaats als het bestand wordt uitgevoerd. Het downloaden alleen is niet voldoende om een pc te besmetten.
Wordt het virus uitgevoerd, dan worden er allerlei aanpassingen uitgevoerd op het Register. Eerst kopieert Duload zichzelf onder de naam
SystemConfig.exe naar het System-folder van Windows. Wellicht bevindt die zich in c:\windows bij Windows 95,98 en Millennium of c:\winnt bij Windows NT, 2000 of XP. Bij die laatste is het ook mogelijk dat de folder op een andere schijf staat, als Windows niet op de C:-schijf werd geïnstalleerd.
Dit levert meteen een snelle manier om te weten of het virus aanwezig is op je pc. Systemconfig.exe is namelijk geen gewoon Windows-bestand. Vind je het via de zoekfunctie toch op je pc, dan is de kans groot dat de computer besmet is.
Door de aanpassingen aan het Register zorgt Duload ervoor dat het altijd tegelijk met Windows wordt opgestart. Ook de instellingen van KaZaA worden veranderd, zodat de gedeelde folder
C:\WINDOWS\SYSTEM\Media\ wordt aangemaakt.
In die nieuwe folder verschijnen nieuwe kopieën van Duload, telkens met een van de misleidende namen. Deze worden dan opnieuw op het FastTrack-netwerk van KaZaA aangeboden, zodat andere gebruikers in de val kunnen lopen.
Het virus probeert ook om onduidelijke redenen een bestand te downloaden vanaf internet. Volgens McAfee is het gezochte bestand niet meer online, zodat Duload hier niet in slaagt.
Op zich richt Duload geen schade aan, maar het neemt wel ongevraagd ruimte op de harde schijf in. Maar het is vooral de internetverbinding die te lijden heeft. Als vele andere KaZaA-gebruikers het virus beginnen te downloaden, wordt alle bandbreedte opslokt. Hierdoor wordt het surfen vertraagd en eventuele surflimieten sneller bereikt.
Lees meer artikels over :
kazaa, duload
bron: ZDNet
