ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

P2P-Worm.Win32.Mandragore

Classe P2P-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este worm é aplicação Win32 8192 bytes de comprimento, é capaz de infectar apenas sistemas Win32. Para se espalhar de um computador para outro, o worm usa a rede de compartilhamento de arquivos P2P (Gnutella peer-to-peer) (veja http://gnutella.wego.com).

Nos computadores infectados, o worm se registra como nó da rede Gnutella, ouve o tráfego de solicitações de arquivos e responde positivo a essas solicitações. O worm relata o nome do arquivo que está sendo pesquisado, mas com a extensão EXE. Se um usuário remoto receber essa resposta e baixar o arquivo, ele obtém uma cópia do worm em sua máquina. O worm não pode rodar sozinho no computador remoto, um usuário tem que iniciar o arquivo para ativar as rotinas do worm.

Ao instalar-se no sistema, o worm se copia para o diretório de inicialização do Windows CurrentUser com o nome "Gspot.exe" e define os atributos ocultos e do sistema para essa cópia.

Na próxima inicialização do Windows, o worm é executado automaticamente pelo Windows (sendo colocado na pasta Startup), executa dois threads (processos em segundo plano) e permanece na memória do Windows. No Win9x, o worm também se registra como um processo oculto (serviço) (não visível na lista de tarefas).

Os threads do worm realizam duas ações:

O primeiro tópico relata "Eu sou o nó Gnutella e aqui está o arquivo que você está procurando."

O segundo segmento envia "o nome do arquivo que você está procurando" com a extensão ".exe" e com o código do worm nele.

O código do worm contém sequências de texto "copyright":

[Gspot 1-]
livremente partilhado por mandragore / 29A


Link para o original