DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

P2P-Worm.Win32.Benjamin

Erkennungsdatum 04/01/2004
Kategorie P2P-Worm
Plattform Win32
Beschreibung

Dieser Wurm nutzt das Kazaa File Exchange P2P-Netzwerk, um sich zu verbreiten. Das Kazaa-Netzwerk ermöglicht seinen Benutzern den Austausch von Dateien untereinander mithilfe der Kazaa-Client-Software. Um mehr über das Kazaa-Netzwerk zu erfahren, besuchen Sie die Website unter: http://www.kazaa.com .

Benjamin ist in Borland Delphi geschrieben und ist ungefähr 216 Kb groß – es wird vom AsPack-Dienstprogramm komprimiert. Die Größe einer Datei kann stark variieren, da der Wurm jede Datei mit "Staub" zum Maskieren beendet.

Installation

Erstens zeigt der Wurm einen falschen Fehlerbericht:

Benjamin kopiert sich dann in das Verzeichnis% WinDir% SYSTEM als

EXPLORER.SCR

und erstellt zwei Schlüssel in der Systemregistrierung:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "System-Dienst" = "C: WINDOWS SYSTEM EXPLORER.SCR" [HKEY_LOCAL_MACHINESoftwareMicrosoft] "syscod" = "0065D7DB20008306B6A1"

Der Wurm wird ausgeführt, nachdem das System neu gestartet wurde.

Verbreitung

Die Verbreitung kann höchstwahrscheinlich nur stattfinden, wenn der KaZaa P2P Client (Software) installiert ist. Benjamin liest die Systemregistrierung nach Informationen über den Kasaa Client und erstellt die

% WinDir% TempSys32

Verzeichniskatalog, der sich als das für alle KaZaa-Netzwerkbenutzer zugängliche Verzeichnis registriert. Es füllt dieses Verzeichnis mit Kopien von sich, die unter zahlreichen verschiedenen Namen aus einer Liste aufgelistet sind, die im Körper des Wurms enthalten ist.

Die Verteilung erfolgt wie folgt. Ein "Opfer", der nach einer Datei im KaZaa-Netzwerk sucht, findet sie in der Liste der zugänglichen Dateien auf dem bereits infizierten Computer. Wenn ein Problem nicht vermutet wird, lädt der Benutzer diese Datei herunter und öffnet sie, wodurch sie ihren eigenen Computer infiziert.

Auswirkungen

Der Wurm öffnet die Website benjamin.xww.de, um eine Werbung anzuzeigen.


Link zum Original