Wormvirus jaagt opnieuw op KaZaA-gebruikers

Vermomd als naaktfoto's of Xbox-hack

23 augustus 2002 | Jamie Biesemans Het populaire ruilprogramma KaZaA is eens te meer het doelwit van een virus. In het kielzog van Benjamin en KWBot biedt het Duload-virus zich aan als een aantrekkelijke download, die echter een onaangename lading bevat. Gelukkig blijft de schade beperkt.

Door zichzelf een valse naam te geven, maakt Duload zich aantrekkelijk voor mensen die via KaZaA op zoek gaan naar illegale media of naaktfoto's. Volgens virusbestrijder McAfee kan het wormvirus een veertigtal namen aannemen, waaronder Alicia Silverstone Payboy Nude.exe, Kama Sutra Tetris.exe, Ps2 Emulator.exe, Soldier Of Fortune 2 Mutiplayer Serial Hack.exe of Xbox Emulator.exe. Een volledige lijst vind je hier terug.

De vermomde bestanden zijn te herkennen omdat ze altijd een lengte hebben van 18 KB. Het zijn bovendien altijd uitvoerbare EXE-bestanden, waardoor je alvast weet dat het wellicht geen beeld- of videobestanden zijn.

Gelukkig vindt de besmetting pas plaats als het bestand wordt uitgevoerd. Het downloaden alleen is niet voldoende om een pc te besmetten.

Wordt het virus uitgevoerd, dan worden er allerlei aanpassingen uitgevoerd in het Register. Eerst kopieert Duload zichzelf onder de naam SystemConfig.exe naar de System-folder van Windows. Wellicht bevindt die zich in c:\windows bij Windows 95/98/Me of c:\winnt bij Windows NT/2000/XP. Bij die laatste is het ook mogelijk dat de folder op een andere schijf staat, als Windows niet op de C-schijf werd geïnstalleerd.

Dit levert meteen een snelle manier op om te weten of het virus aanwezig is op je pc. Systemconfig.exe is geen Windows-bestand. Vind je het via de zoekfunctie terug op je pc, dan is de kans groot dat je computer besmet is.

Door de aanpassingen aan het Register zorgt Duload ervoor dat het altijd mee met Windows wordt opgestart. Ook de instellingen van KaZaA worden veranderd, zodat C:\WINDOWS\SYSTEM\Media\ de nieuwe gedeelde folder wordt.

In die nieuwe folder verschijnen nieuwe kopieën van Duload, telkens met één van de misleidende namen. Deze worden dan opnieuw op het FastTrack-netwerk van KaZaA aangeboden, zodat andere gebruikers in de val kunnen lopen.

Het virus poogt ook om onduidelijke redenen een bestand te downloaden van op het Internet. Volgens McAfee is het gezochte bestand niet meer online, zodat Duload hier niet in slaagt.

Op zich richt Duload geen schade aan, maar het neemt wel ongevraagd ruimte op de harde schijf in. Maar eigenlijk is het vooral de internetverbinding die te lijden heeft. Als veel andere KaZaA-gebruikers het virus bij jou beginnen te downloaden, wordt alle bandbreedte opslokt. Hierdoor wordt het surfen vertraagd en worden eventuele surflimieten sneller bereikt. Lees meer artikels over : kazaa, duload, virus

bron: ZDNet