DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

P2P-Worm.Win32.Mandragore

Kategorie P2P-Worm
Plattform Win32
Beschreibung

Technische Details

Dieser Wurm ist Win32-Anwendung 8192 Bytes Länge, es ist in der Lage, nur Win32-Systeme zu infizieren. Um sich von Computer zu Computer zu verbreiten, verwendet der Wurm das Peer-to-Peer (P2P) File-Sharing-Netzwerk Gnutella (siehe http://gnutella.wego.com).

Auf infizierten Computern registriert sich der Wurm selbst als Gnutella-Netzwerkknoten, überwacht den Datenverkehr von Dateianforderungen und antwortet positiv auf diese Anfragen. Der Wurm meldet den Dateinamen, der durchsucht wird, aber mit EXE-Erweiterung. Wenn ein Remotebenutzer diese Antwort erhält und die Datei herunterlädt, erhält er eine Kopie des Wurms auf seinem Computer. Der Wurm kann nicht von selbst auf einem entfernten Computer laufen, ein Benutzer muss die Datei starten, um die Wurmroutinen zu aktivieren.

Während sich der Wurm selbst auf dem System installiert, kopiert er sich mit dem Namen "Gspot.exe" in das Windows-CurrentUser-Startverzeichnis und setzt versteckte und Systemattribute für diese Kopie.

Beim nächsten Windows-Start wird der Wurm automatisch von Windows (im Autostart-Ordner) ausgeführt, führt zwei Threads aus (Hintergrundprozesse) und verbleibt im Windows-Speicher. Unter Win9x registriert sich der Wurm auch als versteckter (Dienst-) Prozess (in der Aufgabenliste nicht sichtbar).

Die Threads des Wurms führen zwei Aktionen aus:

Der erste Thread meldet "Ich bin Gnutella-Knoten, und hier ist die Datei, die Sie suchen."

Der zweite Thread sendet "den gesuchten Dateinamen" mit der Erweiterung ".exe" und mit dem darin enthaltenen Wurmcode.

Der Wurmcode enthält "copyright" Textstrings:

[GSpot 1-]
frei geteilt von Mandragore / 29A


Link zum Original