Win32.Worm.Benjamin.B

Marime: ~ 450 la 600 KB Raspandire: Mica Risc: Redus Simptome: - fisierul explorer.scr in directorul Windows System; - inregistrarea "Windows

Marime: ~ 450 la 600 KB Raspandire: Mica Risc: Redus Simptome: - fisierul explorer.scr in directorul Windows System; - inregistrarea "Windows HKLM\Software\Microsoft\ CurrentVersion\Run\System-Service" in registrii Windows, cu valoarea catre fisierul explorer.scr; - subdirectorul tempsys in directorul Windows; - inregistrarea HKLM\ SOFTWARE\Microsoft\syscod in registrii Windows. Descriere tehnica: Avem de-a face cu o noua versiune a virusului Win32.Worm.Benjamin.A, virus care se raspandeste inca prin intermediul cunoscutei retele de partajare a fisierelor Kazaa; principala diferenta fata de acesta este ca versiunea B nu mai contine numele fisierelor media codate in corpul sau, ci foloseste numele fisierelor deja existente in directorul partajat al Kazaa. Ca si versiunea A, a fost scris in Borland Delphi. Cand este executat pentru prima data, virusul da o valoare intamplatoare cheii de registrii HKLM\SOFTWARE\Microsoft\ syscod (in formatul HEX, de exemplu: 03B03225C03105F16E"; aceasta cheie este folosita de virus pentru a determina daca a mai fost sau nu instalat pe acel system. Virusul se mai copiaza si in directorul de system al Windows, ca si "explorer.scr". Subdirectorul "temp\sys32" in directorul Windows este apoi creat si adaugat la lista directoarelor partajate ale Kazaa (stabilind valoarea inregistrarii HKCU\Software\Kazaa\LocalContent \Dir1 sau Dir 2 etc., in functie e valorile deja existente). In acest punct, virusul contine o eroare de programare care il impiedica sa se raspandeasca; totusi, in anumite conditii, virusul se poate raspandi. Virusul porneste apoi aplicatia-client Kazaa si dupa ce utilizatorul apasa butonul OK dintr-un message-box, creeaza inregistrarea HKLM\Software\ Microsoft\CurrentVersion\Run\System-Service si stabileste valoarea catre fisierul copiat in directorul de system al Windows (explorer.scr); acest lucru determina rularea virusului de fiecare data cand porneste calculatorul. De fiecare daca cand se executa, virusul face cate doua copii ale sale in subdirectorul temp\sys32 din Windows pentru fiecare fisier din directorul principal partajat de Kazaa. Copiile au acelasi nume, dar li se adauga extensia .exe (precedata de multe spatii goale) pentru prima copie si .scr pentru a doua copie. Copiile sunt adaugate la intamplare, la sfarsitul fisierelor. Efecte (Payload): In anumite conditii (daca virusul gaseste o fereastra numita IEFrame), incearca sa acceseze site-ul "benjmain.xww.de" (care a fost inchis dupa raspandirea primei versiuni de Benjamin). Dezinfectie manuala: Stergeti subdirectorul temp\sys32 din directorul Windows (care contine copiile partajate ale virusului). Indepartati (folosind REGEDIT) din registrii Windows inregistrarea "HKLM\Software\Microsoft\ CurrentVersion\Run\System-Service". Stergeti fisierul "explorer.scr" din directorul System al Windows. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.