Worm 'Benjamin' treft KaZaA netwerk

Kaspersky Labs laat ons weten dat het populaire file-sharing programma KaZaA het eerste virus heeft te pakken dat speciaal voor de dienst ontworpen is. De worm 'Benjamin' creëert een folder op de pc van de gebruiker en kopiëert zichzelf daar duizenden malen onder verschillende namen. Het verspreiden vindt plaats als andere gebruikers middels een zoekopdracht op één van deze files stuiten, de worm downloaden en uitvoeren. Naast het opeten van kostbare harddiskruimte, opent Benjamin een website met banners, zodat de maker van het virus ook nog een zakcentje aan zijn creatie overhoudt:

KaZaA "Benjamin" is not the first known worm to exploit public access P2P file exchange networks. Previously the Gnutella file exchange network fell victim to virus creators. "This event once again demonstrates the necessity to filter all incoming files for viruses, regardless of how well protected this or any other network is. Before use all data should be run through a mandatory check for virus code using the latest virus database update," commented Denis Zenkin, Kaspersky Labs Head of Corporate Communications.

Kaspersky laat weten ondertussen haar virusdefinities te hebben aangepast. Met dank aan Verwijderd die ons hierover inlichtte.

Door Bram Kouwenberg

Nieuwsposter

Feedback • 22-05-2002 15:11 60

22-05-2002 • 15:11

60

Bron: Kaspersky Labs

Lees meer

Peer-to-peer programma's gevaarlijk voor bedrijfsbeveiliging
Peer-to-peer programma's gevaarlijk voor bedrijfsbeveiliging Nieuws van 8 januari 2004
Andere MS-software ook kwetsbaar voor wormaanvallen
Andere MS-software ook kwetsbaar voor wormaanvallen Nieuws van 27 januari 2003
Gevaarlijk Bugbear virus op komst
Gevaarlijk Bugbear virus op komst Nieuws van 1 oktober 2002
'Yoohoo' virus aast op filesharing
'Yoohoo' virus aast op filesharing Nieuws van 30 augustus 2002
MessageLabs meldt wederom grote toename virussen
MessageLabs meldt wederom grote toename virussen Nieuws van 19 juni 2002
JPEG worm W32/Perrun bewandelt nieuwe wegen
JPEG worm W32/Perrun bewandelt nieuwe wegen Nieuws van 14 juni 2002
KaZaA bevat verborgen P2P-netwerk
KaZaA bevat verborgen P2P-netwerk Nieuws van 2 april 2002
KaZaA laat zich eenvoudig misbruiken voor DoS-aanval
KaZaA laat zich eenvoudig misbruiken voor DoS-aanval Nieuws van 26 februari 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (60)

-Moderatie-faq
60
59
44
17
1
1
Wijzig sortering

Sorteer op:

Weergave:
Ludewig 22 mei 2002 15:21
Voor de mensen die al besmet zijn, de verwijder-methode:

- Manual removal:
* Delete all files from C:\Windows\Temp\Sys32 folder
* Delete file explorer.scr from C:\Windows\System
* Delete registry key System Service from: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Bitdefender heeft een programmaatje dat dit automatisch doet:
http://www.bitdefender.com/html/free_tools.php (AntiBenjamin.exe)

Ook KazaaLite is niet veilig voor dit virus!!!

Meer info:
- Thread op GOT
- Slashdot

Reactie op Jamf:
Het programmaatje van www.kazaalite.com is identiek aan dat van Bitdefender.
Verwijderd @Ludewig22 mei 2002 15:30
Op de KazaaLite site staat ook een anti-benjamin progje.

http://www.kazaalite.com/nuked/modules.php?op=modload&name=News&file=a rticle&sid=46&mode=thread&order=0&thold=0

[Edit] Oh. |:( Mod me maar omlaag. |:( :'(

;)
Verwijderd 22 mei 2002 15:18
Het lijkt me wel duidelijk wanneer je via kazaa een virus binnenhaalt. een kwestie van goed opletten en weten wat je binnen haalt Software, film of muziek. Maar dat is een verhaal wat iedereen toch onderhand zou moeten weten.

Ik zag touwens gister al op MCafee newly discovered virusses dat deze al bestond en dat het in de eerst volgende update wordt aangepakt.
kareltje21 @Verwijderd22 mei 2002 16:42
Het wordt tijd dat mensen eens een computerrijbewijs gaan krijgen.

Uitroeien van dit virus is helemaal niet zo moeilijk, het is gewoon een kwestie van goed opletten wat je download en gaat openen. .VBS : altijd voorzichtig zijn, EXE even nadenken of het zal zijn wat je denkt dat het is. Voor de rest gewoon opletten of het niet MP3.EXE of AVI.EXE is.

Apart dat mensen toch zo weinig nadenken. Wel grappig dat dit virus niet op technische fouten berust maar op fouten in het menselijk handelen. (niet nadenken, gewoon alles openen).
Swinnio @kareltje2122 mei 2002 18:09
Uitroeien van dit virus is helemaal niet zo moeilijk, het is gewoon een kwestie van goed opletten wat je download en gaat openen. .VBS : altijd voorzichtig zijn, EXE even nadenken of het zal zijn wat je denkt dat het is. Voor de rest gewoon opletten of het niet MP3.EXE of AVI.EXE is.
Dat ben ik tendele met je eens. Nadenken kan een hoop narigheid voorkomen, maar niet alle. Hoe moet je weten of een bepaalde Install.exe schadelijk kan zijn? En hoe weet je bij een EXE
of het zal zijn wat je denkt dat het is
? Op het moment dat je daar achter bent, is het namelijk al te laat |:(
Apart dat mensen toch zo weinig nadenken.
Dat zegt de ANWB misschien ook wel als je onderweg zonder olie of koelvloeistof staat. Met andere woorden: je kunt niet overal verstand van hebben of aan denken. Er zullen altijd gebruikers zijn die iets minder goed nadenken dan de mensen die veel ervaring op dat gebied hebben.
Adion @kareltje2122 mei 2002 18:35
Met de meeste multimedia bestanden (behalve dat windows media filmformaat, want dat kan automatisch links openen) ben je wel veilig als je gewoon de extensie controleert.

Bij dit virus weet je het echter totaal niet, omdat je al op zoek was naar een exe, en het dus logisch is dat je een exe vindt.
Je kan dus niet zeker weten of winzip.exe van ~800KB de installatie van winzip is, of een virus.

Eigenlijk zijn dit risico's die je neemt door files van onbekende / onbetrouwbare bronnen te downloaden.
vso @kareltje2123 mei 2002 03:54
Hoe moet je weten of een bepaalde Install.exe schadelijk kan zijn? En hoe weet je bij een EXE of het zal zijn wat je denkt dat het is? Op het moment dat je daar achter bent, is het namelijk al te laat
inderdaad maar daar mag je hopenlijk toch wel voor 80% van uitgaan dat die dure virusscanner het wel tegenhoudt. helaas is het virus er eerder dan het vaccain
maar zoals een wijs persoon ooit zei:
van ruilen komt huilen!
Het wordt tijd dat mensen eens een computerrijbewijs gaan krijgen
dat zeg ik ook nu zo vaak alleen dan zit ik achter het stuur en vraag me af waar hun het rijbewijs hebben gevonden .. "je leert pas vloeken, wanneer je leert (auto)rijden".
het is makkerlijk om te oordelen over een ander, echter wanneer je het voorkomt dat de ander het overkomt .. dan pas ben je in mijn ogen een vakman
_Thanatos_ @vso23 mei 2002 12:48
helaas is het virus er eerder dan het vaccain
Computers kun je niet met mensen vergelijken, wij zijn niet digitaal. Als er nml een vaccain is (de virusscanner met up-to-date definities) dan is die wél eerder dan het virus kan toeslaan.
van ruilen komt huilen
Waar heeft dat nou weer wat mee te maken.. d'r wordt hier toch niks omgerolen ofzo :?

kareltje21:
Het wordt tijd dat mensen eens een computerrijbewijs gaan krijgen
Ben ik het niet mee eens, de reden dat je een rijbewijs nodig hebt om te kunnen rijden, is toch ook niet omdat het kan zijn dat een dronken aap tegen je op kan rijden :?
blade181 @Verwijderd22 mei 2002 17:32
Nou het is niet zo'n erg virus, maar wel effectief, het zijn vooral van die bestanden, die een naam hebben van een stukje software maar dan maar 300 kb groot is...

Het virus zet ze dan in de 'sys' directory (die maakt die zelf aan) van de c:\windows\temp neer en wordt automatisch geschared in kazaa (zowel kazaa als de lite versie). Verwijder je die dan is het volgens mij ook meteen over. Let er maar op..

ehhh had niet naar onder gekeken... |:(
wildhagen
22 mei 2002 15:19
Voor de mensen met McAfee: de DAT-files die komende nacht uitkomen (versie 4204) gaan deze worm ook herkennen.

Meer info: http://vil.nai.com/vil/content/v_99495.htm
Ludewig @wildhagen22 mei 2002 15:53
Voor de Norton Symantec gebruikers:
http://securityresponse.symantec.com/avcenter/venc/data/w32.benjamin.w orm.html

Het virus wordt herkend door de virusdefinities vanaf 21 mei. Als je nu Intelligent Updater of LiveUpdate gebruikt is Norton AntiVirus in staat het virus te herkennen.
BitByter 22 mei 2002 19:49
dit virus had ik 2 weken geleden, ik merkte dat mijn hd space ineens achteruit ging, dus ikke kijken in m'n task manager, bleek dat (een vantevoren gedownload proggel) wat niet werkte (magix music maker) demo ;) nog steeds actief was in m'n task manager, dus ikke die afgesloten, ikke kijken welke directory ineens explosief gestegen was in diskruimte, dit was dus c:\windows\temp\sys32. deze verwijderd, zag ik dat explorer.scr actief was, en met msconfig het explorer.scr verwijdert :D en daarna deze uitgeschakeld, no prob at all
Verwijderd @BitByter23 mei 2002 01:52
no prob at all?
toch weer wat geklooi voor nix en alle anderen die via jouw bak besmet werden?
Ik bedoel maar, als jij zo slim was om die worm te installeren :Z
Verwijderd 22 mei 2002 15:17
De telegraaf had hier gister een stukje over:
www.telegraaf.nl/digilink/teksten/digi.worm.kazaa.zoals.zichzelf.www.v erspreidt.html

vanochtend stond het ook in de papieren editie!

edit: txt omgetoverd van flame naar (hopelijk) nuttige info.
Verwijderd 22 mei 2002 15:23
Sinds ik het(KaZaa) gebruik vliegen de bestandsnaam.mp3.vbs'en me al om de oren :z

Het verbaasd me dan ook echt dat dit het eerste P2P virus is :?
Verwijderd 22 mei 2002 15:30
Iedereen met een firewall die dat virus heeft zou hebben moeten zien dat een bestand Explorer.scr contact wil maken naar buiten, gewoon blokkeren dus.
Overigens zit hij al in de nieuwste update van Norton W32.Benjamin.Worm
Tux 22 mei 2002 15:46
Is toch best eenvoudig te removen:

remove.reg:
[code]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System-Service"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft]
"syscod"=""
[/code]

runme.bat:
[code]
@echo off
echo W32.Benjamin.Worm Remover for Windows XP/2000
echo Removing Explorer.scr...
del %WINDIR%\SYSTEM\EXPLORER.SCR
echo.
echo Removing Registry keys for Benjamin
start remove.reg
echo.
echo Now removing infected files in SYS32 Folder (this may take some minutes)
del %WINDIR%\TEMP\SYS32\*.*
echo.
echo W32.Benjamin.Worm is now deleted from your System!
[/code]

Zelf ff geprutst gisteren... moet je wel eerst de app explorer.scr killen
Verwijderd 22 mei 2002 19:02
Wat ik niet snap is dat de maker van dit virus site met banner laat openen, oke hij wil er geld mee verdienen (d0h), maar maakt hij het de overheid (of wie dan ook) niet veel makkelijker hem op te sporen ? Dat geld moet toch een keer ergens heen gestuurd worden.
Idd maar het is denk ik alleen even wachten op toestemming van een rechter. Als de bedrijven waardoor hij betaald wordt voor het showen van een banner zijn naam zo maar prijsgeven kan die idioot ook nog eens geld claimen van die bedrijven.

maar zoals freakertje al zei het kan natuurlijk ook zijn dat hij naar iemand anders zijn pagina verwijst om hem te naaien of als afleiding.

kotom: als het een eikel is zal hij nu onderhand wel gepakt zijn.. als tie slim is heeft iemand die er nix mee te maken heeft een hoop uit te leggen aan de politie :P
hneel 22 mei 2002 15:41
Is dit virus nu gewoon te herkennen als *.vbs bestand, als je in de zoeklijst van kazaa kijkt?

Of verbergt het zichzelf en kan dus iedereen besmet raken?

Dat wordt me uit alle verhalen totnutoe niet duidelijk. :?

Ik bedoel: als je slim bent download je geen *.vbs bestand. Laat staan dat je die gaat runnen. |:(
Kahlan @hneel22 mei 2002 15:49
Een VBS of HTA bestand open je met je favoriete editor. Dan lees je hem en denk je 'o ja!, zo werkt dat'
heel anders zijn de .exe's waarover je hier leest. Ik ga niet elke executable door de debugger halen om te kijken wat hij doet; als ik het als 'safe' markeer dan run ik hem, en anders niet (of eerst op een quarantine'd systeem).

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq