CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

P2P-Worm.Win32.Mandragore

Classe P2P-Worm
Plateforme Win32
Description

Détails techniques

Ce ver est Win32 application 8192 octets de longueur, il est capable d'infecter les systèmes Win32 seulement. Pour se propager d'un ordinateur à l'autre, le ver utilise le réseau de partage de fichiers peer-to-peer (P2P) de Gnutella (voir http://gnutella.wego.com).

Sur les ordinateurs infectés, le ver s'enregistre en tant que nœud réseau Gnutella, écoute le trafic des requêtes de fichiers et répond positivement à ces demandes. Le ver signale le nom du fichier en cours de recherche, mais avec l'extension EXE. Si un utilisateur distant obtient cette réponse et télécharge le fichier, il reçoit une copie du ver sur sa machine. Le ver n'est pas capable de fonctionner seul sur un ordinateur distant, un utilisateur doit démarrer le fichier pour activer les routines de ver.

Lors de son installation sur le système, le ver se copie dans le répertoire de démarrage Windows CurrentUser avec le nom "Gspot.exe" et définit les attributs cachés et système pour cette copie.

Au prochain démarrage de Windows, le ver est automatiquement exécuté par Windows (placé dans le dossier Démarrage), exécute deux threads (processus d'arrière-plan) et reste dans la mémoire de Windows. Sous Win9x, le ver s'inscrit également comme un processus caché (service) (non visible dans la liste des tâches).

Les threads du ver effectuent deux actions:

Le 1er thread signale "Je suis noeud Gnutella, et voici le fichier que vous recherchez."

Le 2ème thread envoie "le nom de fichier que vous recherchez" avec l'extension ".exe", et avec le code de ver dedans.

Le code du ver contient des chaînes de texte "copyright":

[Gspot 1-]
librement partagé par mandragore / 29A


Lien vers l'original