Kaspersky Threats — Mandragore

Kategorie

Plattform

Beschreibung

Technische Details

Dieser Wurm ist Win32-Anwendung 8192 Bytes Länge, es ist in der Lage, nur Win32-Systeme zu infizieren. Um sich von Computer zu Computer zu verbreiten, verwendet der Wurm das Peer-to-Peer (P2P) File-Sharing-Netzwerk Gnutella (siehe http://gnutella.wego.com).

Auf infizierten Computern registriert sich der Wurm selbst als Gnutella-Netzwerkknoten, überwacht den Datenverkehr von Dateianforderungen und antwortet positiv auf diese Anfragen. Der Wurm meldet den Dateinamen, der durchsucht wird, aber mit EXE-Erweiterung. Wenn ein Remotebenutzer diese Antwort erhält und die Datei herunterlädt, erhält er eine Kopie des Wurms auf seinem Computer. Der Wurm kann nicht von selbst auf einem entfernten Computer laufen, ein Benutzer muss die Datei starten, um die Wurmroutinen zu aktivieren.

Während sich der Wurm selbst auf dem System installiert, kopiert er sich mit dem Namen "Gspot.exe" in das Windows-CurrentUser-Startverzeichnis und setzt versteckte und Systemattribute für diese Kopie.

Beim nächsten Windows-Start wird der Wurm automatisch von Windows (im Autostart-Ordner) ausgeführt, führt zwei Threads aus (Hintergrundprozesse) und verbleibt im Windows-Speicher. Unter Win9x registriert sich der Wurm auch als versteckter (Dienst-) Prozess (in der Aufgabenliste nicht sichtbar).

Die Threads des Wurms führen zwei Aktionen aus:

Der erste Thread meldet "Ich bin Gnutella-Knoten, und hier ist die Datei, die Sie suchen."

Der zweite Thread sendet "den gesuchten Dateinamen" mit der Erweiterung ".exe" und mit dem darin enthaltenen Wurmcode.

Der Wurmcode enthält "copyright" Textstrings:

[GSpot 1-]
frei geteilt von Mandragore / 29A

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	P2P-Worm
Plattform	Win32
Beschreibung	Technische Details Dieser Wurm ist Win32-Anwendung 8192 Bytes Länge, es ist in der Lage, nur Win32-Systeme zu infizieren. Um sich von Computer zu Computer zu verbreiten, verwendet der Wurm das Peer-to-Peer (P2P) File-Sharing-Netzwerk Gnutella (siehe http://gnutella.wego.com). Auf infizierten Computern registriert sich der Wurm selbst als Gnutella-Netzwerkknoten, überwacht den Datenverkehr von Dateianforderungen und antwortet positiv auf diese Anfragen. Der Wurm meldet den Dateinamen, der durchsucht wird, aber mit EXE-Erweiterung. Wenn ein Remotebenutzer diese Antwort erhält und die Datei herunterlädt, erhält er eine Kopie des Wurms auf seinem Computer. Der Wurm kann nicht von selbst auf einem entfernten Computer laufen, ein Benutzer muss die Datei starten, um die Wurmroutinen zu aktivieren. Während sich der Wurm selbst auf dem System installiert, kopiert er sich mit dem Namen "Gspot.exe" in das Windows-CurrentUser-Startverzeichnis und setzt versteckte und Systemattribute für diese Kopie. Beim nächsten Windows-Start wird der Wurm automatisch von Windows (im Autostart-Ordner) ausgeführt, führt zwei Threads aus (Hintergrundprozesse) und verbleibt im Windows-Speicher. Unter Win9x registriert sich der Wurm auch als versteckter (Dienst-) Prozess (in der Aufgabenliste nicht sichtbar). Die Threads des Wurms führen zwei Aktionen aus: Der erste Thread meldet "Ich bin Gnutella-Knoten, und hier ist die Datei, die Sie suchen." Der zweite Thread sendet "den gesuchten Dateinamen" mit der Erweiterung ".exe" und mit dem darin enthaltenen Wurmcode. Der Wurmcode enthält "copyright" Textstrings: [GSpot 1-] frei geteilt von Mandragore / 29A
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

P2P-Worm.Win32.Mandragore

Technische Details