CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

P2P-Worm.Win32.Benjamin

Date de la détection 04/01/2004
Classe P2P-Worm
Plateforme Win32
Description

Ce ver utilise le réseau P2P d'échange de fichiers Kazaa pour se propager. Le réseau Kazaa permet à ses utilisateurs d'échanger des fichiers entre eux à l'aide du logiciel client Kazaa. Pour en savoir plus sur le réseau Kazaa, visitez leur site à: http://www.kazaa.com .

Benjamin est écrit en Borland Delphi et mesure environ 216 Ko – il est compressé par l'utilitaire AsPack. La taille d'un fichier peut varier considérablement car le ver finit chaque fichier avec "poussière" pour le masquage.

Installation

Premièrement, le ver montre un faux rapport d'erreur:

Benjamin se copie ensuite dans le répertoire% WinDir% SYSTEM en tant que

EXPLORER.SCR

et crée deux clés dans le registre du système:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] "System-Service" = "C: WINDOWS SYSTEM EXPLORER.SCR" [HKEY_LOCAL_MACHINESoftwareMicrosoft] "syscod" = "0065D7DB20008306B6A1"

Le ver s'exécute après le redémarrage du système.

Diffusion

La propagation ne peut très probablement avoir lieu que si le client KaZaa P2P (logiciel) est installé. Benjamin lit le registre système pour obtenir des informations sur le client Kasaa et crée le

% WinDir% TempSys32

catalogue d'annuaires qui enregistre en tant que répertoire accessible à tous les utilisateurs du réseau KaZaa. Il remplit ce répertoire avec des copies de lui-même répertoriées sous de nombreux noms différents d'une liste contenue dans le corps du ver.

L'épandage se produit comme suit. Une "victime" recherchant un fichier dans le réseau KaZaa le trouve dans la liste des fichiers accessibles sur une machine déjà infectée. Ne soupçonnant aucun problème, l'utilisateur télécharge ce fichier et l'ouvre, infectant ainsi sa propre machine.

Effets

Le ver ouvre le site Web benjamin.xww.de pour afficher une publicité.


Lien vers l'original