P2P-Worm.Win32.Benjamin

Червь, использующий для своего распространения файлообменную сеть KaZaa. Данная сеть позволяет ее участникам обмениваться файлами друг с другом, используя клиента этой сети.

Червь написан на Borland Delphi, имеет размер примерно 216KB. Но его файл сжат утилитой AsPack, и размер файла может сильно меняться, так как червь дописывает в конец своего файла мусор для маскировки.

Инсталляция

При запуске червь показывает ложное сообщение об ошибке:

При этом он копирует себя в каталог %WinDir%SYSTEM под именем

EXPLORER.SCR. Затем он создает в системном реестре два ключа:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun



 "System-Service"="C:\WINDOWS\SYSTEM\EXPLORER.SCR"







HKEY_LOCAL_MACHINESoftwareMicrosoft



 "syscod"="0065D7DB20008306B6A1"

Это гарантирует ему запуск после перезагрузки системы.

Распространение

Распространение червя возможно, только если на зараженном компьютере установлен клиент файолообменной сети KaZaa. Червь считывает из системного реестра настройки клиента, создает каталог %WinDir%TempSys32, который прописывает в качестве каталога, доступного для всех участников сети KaZaa. Этот каталог он наполняет собственными копиями под

многочисленными различными именами, список которых содержится в теле самого червя.

Распространие червя происходит следующим образом. “Жертва”, разыскивая какой-либо файл в сети KaZaa, обнаруживает его в списке доступных файлов на уже зараженной машине. Ничего не подозревая, он скачивает этот файл и запускает его, таким образом заражая собственную машину.

Побочные эффекты

Червь “посещает” сайт benjamin.xxw.de с целью накрутки банеров.