Mascherandosi come file di musica, film o software, W32.Benjamin.Worm si diffonde attraverso il network di Kazaa.
La dimensione del worm può variare poiché il worm riempe le copie di se stesso con byte-spazzatura.
Quando Benjamin viene eseguito, si copia come C:\%SYSTEM%\EXPLORER.SCR e aggiunge una sottochiave "syscod" sotto la Chiave di registro SOFTWARE\Microsoft.
Aggiunge anche il valore "System-Service"="C:\%SYSTEM%\EXPLORER.SCR" nella chiave di registro SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Per diffondersi, Benjamin richiede che Kazaa sia installato sulla macchina. Il worm crea una cartella C:\%WINDOS%\TEMP\SYS32.
Cambia i settagli delle Directory di Download di Kazaa cosicchè questa cartella sarà accessibile dagli altri utenti di Kazaa. Gli altri utenti di Kazaa posso scaricare file da quella cartella. Il wrom allora si copia in questa cartella usando differenti nomi scelti a caso da una lista presente nel Worm. Alcuni esempi possono essere:
chterbahn Designer -full-downloader
Acrobat Capture 3.0 -full-downloader
Age of Empires-Games-full-downloader
American Pie 2 -divx-full-downloader
Baseball 2001-Games-full-downloader
Metallica - Blackened
ac dc - Fight For Your Right
Il worm poi mostra un finto messaggio di errore:
“Access error #03A:94574: Invalid pointer operation. File possibly corrupted.
A questo punto il worm lavora in background aspettando il prossimo utente di Kazaa che scaricherà quel file.
Ulteriori informazioni su:
http://securityresponse.symantec.com...amin.worm.html