20 maja 2002

Worm.Kazaa.Benjamin - rozprzestrzenia się w sieci "KaZaa"

Jest to robak rozprzestrzeniający się poprzez sieć "KaZaa". Sieć ta umożliwia użytkownikom wymianę plików. Więcej szczegółów na temat sieci można znaleźć pod adresem http://www.kazaa.com. Robak został stworzony przy pomocy środowiska programistycznego Borland Delphi, a jego rozmiar to około 216 KB.

Instalacja

Po uruchomieniu robak wyświetla na ekranie fałszywy komunikat o błędzie:

Error
Access error #03A:94574: Invalid pointer operation
File possibly corrupted.
[ OK ]

Szkodnik kopiuje się z nazwą EXPLORER.SCR do katalogu %WinDir%\SYSTEM i tworzy dwa klucze w rejestrze systemowym:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run]
"System-Service"="C:\\WINDOWS\\SYSTEM\\EXPLORER.SCR"

[HKEY_LOCAL_MACHINE\Software\Microsoft]
"syscod"="0065D7DB20008306B6A1"

W ten sposób robak zapewnia sobie uruchamianie wraz z każdym startem systemu Windows.

Rozprzestrzenianie

Rozprzestrzenianie robaka możliwe jest tylko wtedy, gdy na komputerze zainstalowany jest klient sieci "KaZaa". Szkodnik odczytuje ustawienia klienta z rejestru systemowego, tworzy katalog %WinDir%\Temp\Sys32 i czyni go dostępnym dla wszystkich użytkowników sieci "KaZaa". Katalog wypełniany jest kopiami wirusa posiadającymi różne nazwy.

Potencjalna "ofiara" wirusa poszukująca plików w sieci "KaZaa" może natknąć się na listę plików udostępnionych przez robaka na zainfekowanej maszynie. Pobierając jeden z tych plików użytkownik infekuje własny komputer.

Funkcje dodatkowe

Robak otwiera stronę benjamin.xww.de.