EXAME.com (EXAME.com)
Da Redação
Publicado em 9 de outubro de 2008 às 12h28.
SÃO PAULO Empresas especializadas em segurança descobriram um novo vírus, chamado W32/Benjamin, que se propaga por meio do KaZaA, rede para troca de arquivos multimídia. Além de levar os usuários da rede a fazer o download de arquivos falsos, o Benjamin tenta exibir pop-ups com anúncios de um site alemão.
A contaminação só pode ocorrer em máquinas que têm o programa KaZaA instalado. Ao invadir o sistema, o Benjamin se autocopia para o diretório de sistema do Windows com o nome Explorer.scr. Uma referência a esse arquivo é adicionada ao Registro para que o invasor sempre esteja ativo no sistema.
Em seguida, o Benjamin cria, no diretório temporário do Windows, a subpasta TempSys32, para a qual faz várias cópias de si mesmo utilizando nomes de arquivos existentes na pasta do KaZaA. Por exemplo: Age of Empires-Games-full-downloader; American Pie 2 -divx-full-downloader; e ac dc - Fight For Your Right. As configurações do programa também são modificadas para que os usuários remotos possam baixar arquivos desse diretório.
A contaminação ocorre quando o usuário baixa um desses arquivos e tenta executá-lo. Segundo as empresas especializadas, além de criar vítimas, o vírus também tenta exibir para elas pop-ups de propaganda de um site alemão. Isso só não ocorre porque o site foi recentemente tirado do ar.