BenjaminワームがKaZaaネットワークを介して拡散

◆概要：
　Benjaminはピアツーピア（P2P）ネットワークであるKaZaaを介して拡散する新種のワームである。Borland Delphiで作成されたBenjaminのサイズは約216kで、AsPackで圧縮されている。悪意のあるファイルがダウンロードされ、実行されると、Benjaminは以下の偽のエラーメッセージを表示する。

Error
Access error #03A:94574: Invalid pointer operation
File possibly corrupted.

[ OK ]

　また、Benjaminは http://benjamin.xww.de/ を開き、リモートウェブサイトにホスティングされている広告を表示する。報道によれば、ウェブサイトに掲載されているように「大量に悪用」されているため、現時点ではこのウェブサイトは公開されていない。

　BenjaminはWindowsのSystemディレクトリーに自身をexplorer.scrとしてコピーする。さらに、このファイルがWindowsの起動時に実行されるよう、Windowsのリジストリが変更される。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
System-Service=C:\Windows DirectorySystemexplorer.scr

HKLMSoftwareMicrosoft
syscod=0065D7DB20008306B6A1

　BenjaminはKaZaa P2Pネットワークを介してしか拡散しない。コンピューターが乗っ取られると、Windowsの一時ディレクトリーにSys32というディレクトリーを作成する。ファイル名の異なるワームの複数のコピーがこの一時ディレクトリーに保存され、KaZaaネットワークに公開される。このディレクトリーはKaZaaに登録され、KaZaaネットワークの全ての参加者がアクセスできる。Benjaminは以下を含むさまざまなファイル名で拡散する可能性がある。

・ Age of Empires 2 Gold +Strat.Comm.-Games-full-downloader
・ American Pie 2-divx-full-downloader
・ Baldur's Gate 2-Games-full-downloader
・ Black & White-Games-full-downloader
・ Blade (uncut) -divx-full-downloader
・ Blue Submarine No. 6 (1998) -divx-full-downloader
・ Buffy the Vampire Slayer-installer
・ CDRWin 5.0 -full-downloader
・ Chessmaster 8000-spiel-full-downloader

◆別名：
Win32.Benjamin, Benjamin, Worm/Kazaa.Benj, BackDoor-AEG, TROJ_FILLHDD.A,Trojan.Filler, Filler, W32/Kazoa, Kazoa, Win32.Worm.Benjamin.A,W32.Benjamin.Worm, Win32/Benjamin.worm, Win32/Kazaa.Benjamin worm,Worm.Kazaa.Benjamin

情報ソース：
・ iDEFENSE Intelligence Operations, May 20, 2002
・ AVP ( http://www.avp.ch/avpve/worms/benjamin.stm ), May 18, 2002
・ BitDefender Inc.
( http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=78 ), May 20, 2002
・ Central Command Inc.
( http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=020520-000004 ), May 19, 2002
・ Computer Associates Inc.
( http://www3.ca.com/virus/virus.asp?ID=11901 ), May 20, 2002
・ F-Secure Corp. ( http://www.f-secure.com/v-descs/benjamin.shtml ), May 20, 2002
・ Network Associates Inc./McAfee.com
( http://vil.nai.com/vil/content/v_99495.htm ), May 16, 2002
・ Sophos Plc.
( http://www.sophos.com/virusinfo/analyses/w32benjamina.html ), May 20, 2002

◆分析：
　（iDEFENSE米国）Benjaminは金儲けをしようとしている可能性がある。KaZaaは短時間で人気のある曲名を複数回ダウンロード可能な大規模ネットワークである。よって、Benjaminは短期間のうちにワームが誘導するウェブサイトに大量のヒットをもたらした可能性がある。このサイトがペイパービューのサイトである場合、サイトの作者はページを閲覧したりクリックしたりするたびに金銭を受け取ることができる可能性がある。

◆検知方法：
　Benjaminが作成する上述のエラーメッセージ、ファイル、ディレクトリーがないか確認する。上級ユーザーはさらに、ワームが作成したキーがないか、Windowsのリジストリキーを確認する。

◆リカバリー方法：
　Benjaminに関連する全てのファイルとWindowsのリジストリキーを削除し、破壊・破損したファイルをクリーンなバックアップコピーで修復する。

◆暫定処置：
　一般的に悪意のあるコードが他のコンピューターに拡散する際に用いる種類のファイルをブロックするよう電子メールサーバーとワークステーションを設定する。すべての新規ファイルを慎重に取り扱い、経験則を用いる最新のアンチウイルスソフトウェアでスキャンしてから使用する。

◆ベンダー情報：
　現在、複数のアンチウイルスソフトウェアプログラムが、この新しい悪意のあるコードへの対応が可能である。また、他のアンチウイルスソフトウェアも、経験則を用いてBenjaminを検知できる可能性がある。

※この情報はアイ・ディフェンス・ジャパン
　（ http://www.idefense.co.jp/ ）より提供いただいております。
　アイディフェンス社の iAlert サービスについて
　 http://shop.vagabond.co.jp/p-alt01.shtml
　情報の内容は以下の時点におけるものです。
　【18:22 GMT、05、20、2002】