Permier ver sur KaZaA
Date : 29 Juin 2005
Kazaa est un logiciel populaire sous Windows de partages de fichiers, comme "Napster", mais de type point à point ("p2p") ". Il est généralement utilisé pour échanger des fichiers musicaux, vidéos et autres logiciels. Ce logiciel reste néanmoins très controversé, car il ouvre la porte à l'échange de copies illégales d'œuvres musicales ou cinématographiques
Le principe de l'échange de données avec KaZaA :
Tous les ordinateurs connectés à Internet et utilisant KaZaA se partagent une partie de leurs disques durs.
Après le téléchargement et l'installation de KaZaA, l'utilisateur doit se connecter à la communauté en ligne de KaZaA en s'inscrivant afin d'obtenir un identifiant. Cet identifiant sera utilisé par la suite pour authentifier l'utilisateur lorsqu'il se connectera au serveur de la communauté, serveur contenant les informations sur les autres utilisateurs en ligne.
Exemple d'utilisation :
- Eric possède dans son répertoire "Téléchargement" une série de vidéos très rares sur les girafes du Groenland. En utilisant KaZaA, Eric partage ainsi le contenu de son dossier nommé "Téléchargement".
- Peter qui est à l'autre bout du monde est très intéressé par des documents sur les girafes du Groenland. Il décide donc d'utiliser KaZaA pour trouver de nouveaux documents sur ce sujet. Peter fait alors une recherche sur "Films sur les girafes du Groenland " et KaZaA lui indique alors qu'Eric possède des documents qui répondent à cette recherche. Dès lors Peter peut télécharger à distance les documentaires présents dans le répertoire "Téléchargement" d'Eric.
KaZaA est donc une application qui permet de relier par Internet une partie des disques durs des PC l'utilisant et connectés à Internet.
Le format le plus échangé dans le monde par ces applications est le MP3 (fichiers audio contenant des oeuvres musicales).
Premier ver sous KaZaA :
Ce mois-ci est apparu le premier ver sous KaZaA : "Benjamin".
"Benjamin" se présente sous la forme d'un fichier exécutable (.EXE) ou d'un fichier relatif à un économiseur d'écran (.SCR). Une fois exécuté, le ver affiche un message d'erreur :
Access error #03A:94574: Invalid pointer operation
File possibly corrupt.
Le ver se copie ensuite dans le répertoire "C:\Windows\Temp\Sys32" qui est configuré comme répertoire d'échange de KaZaA. Cette copie prend généralement le nom de films vidéos, d'œuvres musicales ou de jeux afin d'inciter les utilisateurs à télécharger le ver (plus de 200 noms différents).
Exemple de noms :
- "Deepest Purple-The Very Best of Deep Purple - Smoke on the Water"
- "Metallica - Until it sleeps"
- "Johann Sebastian Bach - Brandenburg Concerto No 4"
- "South Park Vol.3-divx-full-downloader"
- "Star wars Episode 1-divx-full-downloader"
- "F1 Racing Championship-Games-full-downloader"
- "Chessmaster 8000-Games-full-downloader"
Le ver tente ensuite d'ouvrir le site web " benjamin.xww.de ", qui a été fermé depuis.
Finalement, "Benjamin" modifie la Base de Registres du système afin d'être actif à chaque démarrage de ce dernier.
Le Cert-IST n'a pas émis d'avis sur ce problème car KaZaA représente un type de logiciel qui est relativement incompatible avec une politique de sécurité d'un Système d'Information. En effet, outre le fait qu'il ouvre un partage réseau sur le poste de l'utilisateur, certains logiciels du même type que KaZaA contiennent des "Spywares" (logiciels espions) pouvant compromettre les données du système.
Pour plus d'information :
- Document de F-Secure : http://www.F-Secure.com/v-descs/benjamin.shtml
- Document de NAI : http://vil.nai.com/vil/content/v_99495.htm
- Document de Sophos (en français) : http://www.sophos.fr/virusinfo/analyses/w32benjamina.html
- Document de Symantec : http://securityresponse.symantec.com/avcenter/venc/data/w32.benjamin.worm.html
- Document de TrendMicro : http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_BENJAMIN.A