Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties
Bron: Kaspersky Labs

Kaspersky Labs laat ons weten dat het populaire file-sharing programma KaZaA het eerste virus heeft te pakken dat speciaal voor de dienst ontworpen is. De worm 'Benjamin' creŽert een folder op de pc van de gebruiker en kopiŽert zichzelf daar duizenden malen onder verschillende namen. Het verspreiden vindt plaats als andere gebruikers middels een zoekopdracht op ťťn van deze files stuiten, de worm downloaden en uitvoeren. Naast het opeten van kostbare harddiskruimte, opent Benjamin een website met banners, zodat de maker van het virus ook nog een zakcentje aan zijn creatie overhoudt:

KaZaA "Benjamin" is not the first known worm to exploit public access P2P file exchange networks. Previously the Gnutella file exchange network fell victim to virus creators. "This event once again demonstrates the necessity to filter all incoming files for viruses, regardless of how well protected this or any other network is. Before use all data should be run through a mandatory check for virus code using the latest virus database update," commented Denis Zenkin, Kaspersky Labs Head of Corporate Communications.

Kaspersky laat weten ondertussen haar virusdefinities te hebben aangepast. Met dank aan ScanmanP die ons hierover inlichtte.

Moderatie-faq Wijzig weergave

Reacties (60)

Voor de mensen die al besmet zijn, de verwijder-methode:

- Manual removal:
* Delete all files from C:\Windows\Temp\Sys32 folder
* Delete file explorer.scr from C:\Windows\System
* Delete registry key System Service from: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Bitdefender heeft een programmaatje dat dit automatisch doet:
http://www.bitdefender.com/html/free_tools.php (AntiBenjamin.exe)

Ook KazaaLite is niet veilig voor dit virus!!!

Meer info:
- Thread op GOT
- Slashdot

Reactie op Jamf:
Het programmaatje van www.kazaalite.com is identiek aan dat van Bitdefender.
Op de KazaaLite site staat ook een anti-benjamin progje.

http://www.kazaalite.com/nuked/modules.php?op=modload&name=News&file=a rticle&sid=46&mode=thread&order=0&thold=0

[Edit] Oh. |:( Mod me maar omlaag. |:( :'(

;)
Het lijkt me wel duidelijk wanneer je via kazaa een virus binnenhaalt. een kwestie van goed opletten en weten wat je binnen haalt Software, film of muziek. Maar dat is een verhaal wat iedereen toch onderhand zou moeten weten.

Ik zag touwens gister al op MCafee newly discovered virusses dat deze al bestond en dat het in de eerst volgende update wordt aangepakt.
Het wordt tijd dat mensen eens een computerrijbewijs gaan krijgen.

Uitroeien van dit virus is helemaal niet zo moeilijk, het is gewoon een kwestie van goed opletten wat je download en gaat openen. .VBS : altijd voorzichtig zijn, EXE even nadenken of het zal zijn wat je denkt dat het is. Voor de rest gewoon opletten of het niet MP3.EXE of AVI.EXE is.

Apart dat mensen toch zo weinig nadenken. Wel grappig dat dit virus niet op technische fouten berust maar op fouten in het menselijk handelen. (niet nadenken, gewoon alles openen).
Uitroeien van dit virus is helemaal niet zo moeilijk, het is gewoon een kwestie van goed opletten wat je download en gaat openen. .VBS : altijd voorzichtig zijn, EXE even nadenken of het zal zijn wat je denkt dat het is. Voor de rest gewoon opletten of het niet MP3.EXE of AVI.EXE is.
Dat ben ik tendele met je eens. Nadenken kan een hoop narigheid voorkomen, maar niet alle. Hoe moet je weten of een bepaalde Install.exe schadelijk kan zijn? En hoe weet je bij een EXE
of het zal zijn wat je denkt dat het is
? Op het moment dat je daar achter bent, is het namelijk al te laat |:(
Apart dat mensen toch zo weinig nadenken.
Dat zegt de ANWB misschien ook wel als je onderweg zonder olie of koelvloeistof staat. Met andere woorden: je kunt niet overal verstand van hebben of aan denken. Er zullen altijd gebruikers zijn die iets minder goed nadenken dan de mensen die veel ervaring op dat gebied hebben.
Met de meeste multimedia bestanden (behalve dat windows media filmformaat, want dat kan automatisch links openen) ben je wel veilig als je gewoon de extensie controleert.

Bij dit virus weet je het echter totaal niet, omdat je al op zoek was naar een exe, en het dus logisch is dat je een exe vindt.
Je kan dus niet zeker weten of winzip.exe van ~800KB de installatie van winzip is, of een virus.

Eigenlijk zijn dit risico's die je neemt door files van onbekende / onbetrouwbare bronnen te downloaden.
Hoe moet je weten of een bepaalde Install.exe schadelijk kan zijn? En hoe weet je bij een EXE of het zal zijn wat je denkt dat het is? Op het moment dat je daar achter bent, is het namelijk al te laat
inderdaad maar daar mag je hopenlijk toch wel voor 80% van uitgaan dat die dure virusscanner het wel tegenhoudt. helaas is het virus er eerder dan het vaccain
maar zoals een wijs persoon ooit zei:
van ruilen komt huilen!
Het wordt tijd dat mensen eens een computerrijbewijs gaan krijgen
dat zeg ik ook nu zo vaak alleen dan zit ik achter het stuur en vraag me af waar hun het rijbewijs hebben gevonden .. "je leert pas vloeken, wanneer je leert (auto)rijden".
het is makkerlijk om te oordelen over een ander, echter wanneer je het voorkomt dat de ander het overkomt .. dan pas ben je in mijn ogen een vakman
helaas is het virus er eerder dan het vaccain
Computers kun je niet met mensen vergelijken, wij zijn niet digitaal. Als er nml een vaccain is (de virusscanner met up-to-date definities) dan is die wťl eerder dan het virus kan toeslaan.
van ruilen komt huilen
Waar heeft dat nou weer wat mee te maken.. d'r wordt hier toch niks omgerolen ofzo :?

kareltje21:
Het wordt tijd dat mensen eens een computerrijbewijs gaan krijgen
Ben ik het niet mee eens, de reden dat je een rijbewijs nodig hebt om te kunnen rijden, is toch ook niet omdat het kan zijn dat een dronken aap tegen je op kan rijden :?
Nou het is niet zo'n erg virus, maar wel effectief, het zijn vooral van die bestanden, die een naam hebben van een stukje software maar dan maar 300 kb groot is...

Het virus zet ze dan in de 'sys' directory (die maakt die zelf aan) van de c:\windows\temp neer en wordt automatisch geschared in kazaa (zowel kazaa als de lite versie). Verwijder je die dan is het volgens mij ook meteen over. Let er maar op..

ehhh had niet naar onder gekeken... |:(
Voor de mensen met McAfee: de DAT-files die komende nacht uitkomen (versie 4204) gaan deze worm ook herkennen.

Meer info: http://vil.nai.com/vil/content/v_99495.htm
Voor de Norton Symantec gebruikers:
http://securityresponse.symantec.com/avcenter/venc/data/w32.benjamin.w orm.html

Het virus wordt herkend door de virusdefinities vanaf 21 mei. Als je nu Intelligent Updater of LiveUpdate gebruikt is Norton AntiVirus in staat het virus te herkennen.
dit virus had ik 2 weken geleden, ik merkte dat mijn hd space ineens achteruit ging, dus ikke kijken in m'n task manager, bleek dat (een vantevoren gedownload proggel) wat niet werkte (magix music maker) demo ;) nog steeds actief was in m'n task manager, dus ikke die afgesloten, ikke kijken welke directory ineens explosief gestegen was in diskruimte, dit was dus c:\windows\temp\sys32. deze verwijderd, zag ik dat explorer.scr actief was, en met msconfig het explorer.scr verwijdert :D en daarna deze uitgeschakeld, no prob at all
no prob at all?
toch weer wat geklooi voor nix en alle anderen die via jouw bak besmet werden?
Ik bedoel maar, als jij zo slim was om die worm te installeren :Z
De telegraaf had hier gister een stukje over:
www.telegraaf.nl/digilink/teksten/digi.worm.kazaa.zoals.zichzelf.www.v erspreidt.html

vanochtend stond het ook in de papieren editie!

edit: txt omgetoverd van flame naar (hopelijk) nuttige info.
Sinds ik het(KaZaa) gebruik vliegen de bestandsnaam.mp3.vbs'en me al om de oren :z

Het verbaasd me dan ook echt dat dit het eerste P2P virus is :?
Iedereen met een firewall die dat virus heeft zou hebben moeten zien dat een bestand Explorer.scr contact wil maken naar buiten, gewoon blokkeren dus.
Overigens zit hij al in de nieuwste update van Norton W32.Benjamin.Worm
Is toch best eenvoudig te removen:

remove.reg:
[code]
Windows Registry Editor Version 5.00

\[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System-Service"=""

\[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]
"syscod"=""
[/code]

runme.bat:
[code]
@echo off
echo W32.Benjamin.Worm Remover for Windows XP/2000
echo Removing Explorer.scr...
del %WINDIR%\SYSTEM\EXPLORER.SCR
echo.
echo Removing Registry keys for Benjamin
start remove.reg
echo.
echo Now removing infected files in SYS32 Folder (this may take some minutes)
del %WINDIR%\TEMP\SYS32\*.*
echo.
echo W32.Benjamin.Worm is now deleted from your System!
[/code]

Zelf ff geprutst gisteren... moet je wel eerst de app explorer.scr killen
Wat ik niet snap is dat de maker van dit virus site met banner laat openen, oke hij wil er geld mee verdienen (d0h), maar maakt hij het de overheid (of wie dan ook) niet veel makkelijker hem op te sporen ? Dat geld moet toch een keer ergens heen gestuurd worden.
Idd maar het is denk ik alleen even wachten op toestemming van een rechter. Als de bedrijven waardoor hij betaald wordt voor het showen van een banner zijn naam zo maar prijsgeven kan die idioot ook nog eens geld claimen van die bedrijven.

maar zoals freakertje al zei het kan natuurlijk ook zijn dat hij naar iemand anders zijn pagina verwijst om hem te naaien of als afleiding.

kotom: als het een eikel is zal hij nu onderhand wel gepakt zijn.. als tie slim is heeft iemand die er nix mee te maken heeft een hoop uit te leggen aan de politie :P
Is dit virus nu gewoon te herkennen als *.vbs bestand, als je in de zoeklijst van kazaa kijkt?

Of verbergt het zichzelf en kan dus iedereen besmet raken?

Dat wordt me uit alle verhalen totnutoe niet duidelijk. :?

Ik bedoel: als je slim bent download je geen *.vbs bestand. Laat staan dat je die gaat runnen. |:(
Een VBS of HTA bestand open je met je favoriete editor. Dan lees je hem en denk je 'o ja!, zo werkt dat'
heel anders zijn de .exe's waarover je hier leest. Ik ga niet elke executable door de debugger halen om te kijken wat hij doet; als ik het als 'safe' markeer dan run ik hem, en anders niet (of eerst op een quarantine'd systeem).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True