KaZaA opnieuw doelwit van wormvirus

Opent achterdeur voor hackers

08 juli 2002 | Jamie Biesemans Mensen die bestanden downloaden via KaZaA lopen opnieuw kans om besmet te raken met een virus. KWBot hanteert dezelfde verspreidingsmethode als het Benjamin-virus: om gedreven downloaders in de val te lokken vermomt het zich als een DiVX-film of illegale software. De worm richt niet veel schade aan, maar slokt wel veel bandbreedte op en opent een achterdeur voor een hacker.

De worm biedt zich aan onder verschillende bestandsnamen. Het kiest daarbij uit een lange lijst, waarop actuele - en dus zeer gegeerde - film- en softwaretitels voorkomen. Volgens Trend Micro zijn enkele daarvan Sum of all Fears SVCD CD1.EXE, Spiderman SVCD CD1.EXE, Soldier of Fortune 2 CD1 ISO.EXE, Return to Castle Wolfenstein RTCW cracked server patch (play on any server with a fake serial!).EXE, Grand Theft Auto 3 CD1 ISO.EXE, Windows XP Server iso.EXE, Windows XP Professional iso.EXE, Warcraft 3 Crack.EXE, Unreal 3 beta CRACKED.EXE, Playstation 2 PS2 Emulator.EXE, Microsoft Office XP Upgrade (from older versions).EXE en nog vele anderen. Een volledige lijst vind je hier.

Net zoals bij Benjamin kan een wakkere KaZaA-gebruiker gemakkelijk het kaf van het koren scheiden. Een ISO- of DiVX-bestand is vaak verschillende honderden megabytes groot, het vermomde KWBot slechts 19,6 KB. Als je dan toch per se jaagt op bepaalde software of media, moet je wegblijven van bestanden die onmogelijk klein zijn.

Om je pc te besmetten moet je een van de KWBot-bestanden openen. Ze enkel downloaden is niet voldoende. Bij infectie kopieert KWBot zichzelf tot 150 keer naar de gedeelde folder van KaZaA. Het zal daarbij zichzelf altijd een nieuwe naam aanmeten, zodat andere gebruikers aangetrokken en besmet kunnen worden.

Er wordt ook een exemplaar neergepoot in de systeemfolder van Windows. Twee aanpassingen aan het Registry zorgen ervoor dat het virus telkens mee met het besturingssysteem opstart.

Op eerste zicht doet KWBot minder schade dan Benjamin. Dat virus bleef zichzelf dupliceren zodat op korte tijd aanzienlijk veel ruimte op de harde schijf werd opgeslorpt. Bij KWBot is dat niet geval. Maar door zich aan te bieden met populaire bestandsnamen zal het virus wellicht zorgen voor een toename in bandbreedtegebruik. Hierdoor verloopt het surfen trager en zullen eventuele downloadlimieten des te sneller bereikt worden.

Erger is dat KWBot zich ook gedraagt als een heus Trojaans paard. Sommige virusbestrijders vergelijken het met de hackersapplicatie SDBOT 0.5b. Die opent poorten 6660 tot 6667, normaal bedoeld voor IRC-verkeer, zodat een hacker via het Internet bevelen kan geven aan je pc. Lees meer artikels over : kazaa, p2p, kwbot

bron: ZDNet