Råtten orm i KaZaA-nettet

Ormen "Benjamin" sprer seg gjennom fildelingsnettverket KaZaA med tusener av dekknavn fra populære låter og filmer.

Virusvernerne har gitt "Benjamin" en rekke navn, blant dem Worm.Kazaa.Benj, Worm.Kazaa.Benjamin, w32.benjamin og w32.fillhdd. Betegnelsen Benjamin skal stamme fra et nedlagt nettsted som ormen misbrukte.

Det spesielle ved ormen er at den ikke spres gjennom e-post, men gjennom fildelingsnettverket KaZaA. Dette er et nettverk der medlemmer søker etter filer i hverandres lokale kataloger. Benjamin fyller opp offerets harddisk med kopier av seg selv. Titlene på disse kopiene er egnet til å trekke til seg andre medlemmers oppmerksomhet, siden det dreier seg om titler på populære låter eller filmer. Den som kjører en Benjamin-kopi får feilmeldingen illustrert ovenfor, og setter i gang en prosess der ormen dupliserer seg selv i det nye offerets KaZaA-katalog.

Ormen åpner også et anonymt nettsted.

Oppdatert virusvern fra de store leverandørene er i stand til å avsløre, og etter hvert også fjerne, Benjamin-kopiene. De gir også anvisninger på hvordan du skal redigere bort endringene i Windows Registry som gjør at Benjamin aktiverer seg selv hver gang du starter maskinen. Se for eksempel nettstedene til Central Command, F-Secure, Kaspersky Lab, McAfee, Norman, Symantec eller Trend Micro.

Det skal være første gang KaZaA har vært hjemsøkt av en orm. Tidligere har et annet fildelingsnettverk, Gnutella, blitt misbrukt til å spre ondsinnet kode. En talsperson for Kapersky Lab sier dette understreker behovet for å virussjekke alle filer man laster ned gjennom slike nettverk.

Til toppen