Dedicato agli utenti di Kazaa, ha arricchito un po’ il suo autore
Kazaa è uno dei tanti programmi di file sharing, ovvero i discendenti di quel Napster che tanto ha fatto per consentire una condivisione ai limiti della legalità (o, più spesso, anche oltre) di file di ogni genere tra utenti privati usando Internet.
Il virus Benjamin è certamente particolare e legato strettamente a Kazaa. Infatti, non arriva per posta elettronica, ma può essere contratto, senza sospetti, presentandosi come una lista di normali titoli video e musicali popolari residenti su qualche utente della rete di Kazaa. Vengono usati dal virus circa 2000 titoli di video e brani musicali molto noti, ad esempio cd musicali dei Deep Purple, Metallica, Bach, video di South Park volume 3 e videogiochi come Star Wars Episodi 1, F1 Racing Championship e Chessmaster 8000. Tutti appaiono come file singoli eseguibili come programmi. Quando si esegue uno dei file ricevuti, appare un messaggio di questo tipo:
Access error #03A:94574: Invalid pointer operation
File possibly corrupted.
In questo caso, non si tratta di un file corrotto, ma di un messaggio fasullo, simile effettivamente a quello che può apparire quando si scarica qualcosa di errato o incompleto dalla rete di Kazaa. In realtà, il virus sta già lavorando nel sistema ospite. Crea una nuova cartella di condivisione e vi scrive alcune centinaia di copie di se stesso, con nomi di brani, filmati e cd rom famosi. La cartella è ovviamente visibile agli altri utenti del network Kazaa, che allo stesso modo appena descritto, potrebbero ricercare uno dei titoli finti corrispondenti ai file del virus e prelevarli dal nostro sistema. Vengono usati per produrre le centinaia di copie del virus nel sistema ospite, circa 2000 titoli scelti casualmente, come detto poc’anzi.
Particolare curioso è che il virus sembra scritto per fare guadagnare soldi al suo autore. Infatti, il virus usa automaticamente il browser Internet del sistema infetto per aprire una pagina su Internet che contiene banner pubblicitari. Tale pagina è stata oscurata, dopo la scoperta di questo virus, ma il suo autore ha probabilmente già percepito un po’ di soldi, appunto col meccanismo delle “impressions” (visualizzazione di banner pubblicitari) per le visite a tale pagina sponsorizzata e di sua proprietà, indesiderate e “automatiche”.
Dopo avere visualizzato il messaggio di errore sopra citato, Benjamin crea una copia di se stesso anche sul disco locale, nella cartella Windows\System, col nome Explorer.scr. In pratica, crea un finto “salva schermo” per Windows e modifica il Registro di Windows in modo che al successivo riavvio sarà quello usato. In questo modo, ogni volta che si attiva il salva schermo, il virus entrerà in azione.
Pare certo che Benjamin si diffonde solo da e verso i computer che abbiano il software Kazaa installato. E’ comunque riconosciuto ed eliminato dagli antivirus commerciali aggiornati.
