W32/Benjamin.worm


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Nuevo gusano de Internet que propaga haciendo uso del software Kazaa

Nombre de virus: W32/Benjamin.worm
Alias conocidos: Backdoor-AEG, TROJ_FILLHDD.A, Worm.Kazaa.Benjamin
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero
Propagación: Por descarga y ejecución de fichero via Kazaa
Detección: desde DATS 4204 (disponibles el 23/05/02) o DAILYDATS
Motor necesario: desde 4.1.50
Infección actual: Inicial (Inicial, Media, Elevada)

La ejecución del gusano W32/Benjamin.worm, genera una copia de sí mismo en la ruta /WINDOWS/SYSTEM con el nombre EXPLORER.SCR, y añade la siguiente clave en el registro de sistema :

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\SystemService=%WINDIR%\SYSTEM\EXPLORER.SCR

Para propagar, el gusano requiere que esté instalado el software Kazaa en el ordenador (La red KaZaA es una de las redes más populares de intercambio de ficheros, que utiliza la tecnología Peer-to-Peer (P2P)).

W32/Benjamin.worm crea un directorio %WINDIR%\TEMP\SYS32 , y cambia los parámetros del programa Kazaa para que usuarios remotos puedan descargar ficheros desde este directorio. A continuación, el gusano se copia dentro del directorio anterior utilizando diferentes nombres, lo cual permite la búsqueda de los ficheros a otros usuarios. El tamaño de estos ficheros puede variar, ya que el gusano les añade aleatoriamente bytes adicionales para incrementarlo.

Síntomas de tener W32/Benjamin.worm:

·La presencia del fichero EXPLORER.SCR y una clave de registro apuntando al mismo.

·La presencia de la carpeta \TEMP\SYS32 dentro del directorio de Windows y algunos ficheros en su interior.

Se controla con VirusScan desde los DAT y motor arriba indicados, disponibles en www.satinfo.es

SATINFO, VIRUSCAN SPAIN SERVICE 21 de Mayo de 2002