MÜNCHEN (COMPUTERWOCHE) - "W32.Benjamin" heißt der Wurm, der sich seit Donnerstag durch das Peer-to-Peer-Netz (P2P) von Kazaa schlängelt. Den Antiviren-Experten von Symantec zufolge kopiert sich der Schädling unter der Bezeichnung "EXPLORER.SCR" in das Systemverzeichnis von Windows. Außerdem sorgt er durch entsprechende Einträge in die Registrierdatenbank dafür, dass er automatisch beim Hochfahren des Systems gestartet wird. Benjamin verbreitet sich über das Download-Verzeichnis der Tauschbörse, das er für alle Nutzer des Netzes freigibt. Dort tarnt er sich laut Symantec als Spiele- oder Musikdatei mit den folgenden Namen:
chterbahn Designer -full-downloader
Acrobat Capture 3.0 -full-downloader
Age of Empires-Games-full-downloader
American Pie 2 -divx-full-downloader
Baseball 2001-Games-full-downloader
Metallica - Blackened
ac dc - Fight For Your Right
Kazaa-Betreiber Sherman Networks will "die Situation untersuchen und ein Statement vorbereiten". Es seien aber bislang nur wenige Rechner infiziert worden. Bis es Signaturen für die Antivirenprogramme gibt, raten die Experten zur Vorsicht. Manuell lasse sich der Wurm entfernen, indem man folgende Registry-Schlüssel löscht:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "System-Service"="C:\\WINDOWS\\SYSTEM\\EXPLORER.SCR" und
HKEY_LOCAL_MACHINE\Software\Microsoft] "syscod"="0065D7DB20008306B6A1".
Außerdem ist noch die Datei "EXPLORER.SCR" aus dem Systemverzeichnis zu entfernen und das Verzeichnis "Sys32" aus dem Temp-Ordner zu beseitigen. (lex)