P2P-Worm.Win32.Benjamin

Tento čar používá síť P2P sítě Kazaa pro výměnu souborů. Síť Kazaa umožňuje svým uživatelům sdílet soubory pomocí klientského softwaru Kazaa. Další informace o síti Kazaa naleznete na adrese : http://www.kazaa.com .

Benjamin je napsán v Borland Delphi a má velikost přibližně 216 Kb – je komprimován nástrojem AsPack. Velikost souboru se může značně lišit, protože červ zakončuje každý soubor s "prachem" pro maskování.

Instalace

Nejprve červ zobrazí chybovou zprávu o chybách:

Benjamin se potom zkopíruje do adresáře% WinDir% SYSTEM jako

EXPLORER.SCR

a vytvoří dva klíče v systémovém registru:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "Systémová služba" = "C: WINDOWS SYSTEM EXPLORER.SCR" [HKEY_LOCAL_MACHINESoftwareMicrosoft] "syscod" = "0065D7DB20008306B6A1"

Červ se spustí po restartu systému.

Šíření

Rozšiřování se s největší pravděpodobností může uskutečnit pouze v případě, že je nainstalován klientský software (KaZaa P2P) (software). Benjamin přečte systémový registr informací o klientovi Kasaa a vytvoří

% WinDir% TempSys32

který se registruje jako adresář dostupný všem uživatelům sítě KaZaa. Vyplňuje tento adresář se svými kopiemi uvedenými pod různými názvy ze seznamu obsaženého v těle červu.

Rozložení probíhá následovně. "Oběť", která hledá soubor v síti KaZaa, ji najde v seznamu dostupných souborů na již infikovaném počítači. Bez podezření na problém uživatel stáhne tento soubor a otevírá ho, čímž infikuje svůj vlastní počítač.

Účinky

Červ otevře web benjamin.xww.de a zobrazí reklamu.