Kaspersky Threats — Mandragore

Classe

Plateforme

Description

Détails techniques

Ce ver est Win32 application 8192 octets de longueur, il est capable d'infecter les systèmes Win32 seulement. Pour se propager d'un ordinateur à l'autre, le ver utilise le réseau de partage de fichiers peer-to-peer (P2P) de Gnutella (voir http://gnutella.wego.com).

Sur les ordinateurs infectés, le ver s'enregistre en tant que nœud réseau Gnutella, écoute le trafic des requêtes de fichiers et répond positivement à ces demandes. Le ver signale le nom du fichier en cours de recherche, mais avec l'extension EXE. Si un utilisateur distant obtient cette réponse et télécharge le fichier, il reçoit une copie du ver sur sa machine. Le ver n'est pas capable de fonctionner seul sur un ordinateur distant, un utilisateur doit démarrer le fichier pour activer les routines de ver.

Lors de son installation sur le système, le ver se copie dans le répertoire de démarrage Windows CurrentUser avec le nom "Gspot.exe" et définit les attributs cachés et système pour cette copie.

Au prochain démarrage de Windows, le ver est automatiquement exécuté par Windows (placé dans le dossier Démarrage), exécute deux threads (processus d'arrière-plan) et reste dans la mémoire de Windows. Sous Win9x, le ver s'inscrit également comme un processus caché (service) (non visible dans la liste des tâches).

Les threads du ver effectuent deux actions:

Le 1er thread signale "Je suis noeud Gnutella, et voici le fichier que vous recherchez."

Le 2ème thread envoie "le nom de fichier que vous recherchez" avec l'extension ".exe", et avec le code de ver dedans.

Le code du ver contient des chaînes de texte "copyright":

[Gspot 1-]
librement partagé par mandragore / 29A

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	P2P-Worm
Plateforme	Win32
Description	Détails techniques Ce ver est Win32 application 8192 octets de longueur, il est capable d'infecter les systèmes Win32 seulement. Pour se propager d'un ordinateur à l'autre, le ver utilise le réseau de partage de fichiers peer-to-peer (P2P) de Gnutella (voir http://gnutella.wego.com). Sur les ordinateurs infectés, le ver s'enregistre en tant que nœud réseau Gnutella, écoute le trafic des requêtes de fichiers et répond positivement à ces demandes. Le ver signale le nom du fichier en cours de recherche, mais avec l'extension EXE. Si un utilisateur distant obtient cette réponse et télécharge le fichier, il reçoit une copie du ver sur sa machine. Le ver n'est pas capable de fonctionner seul sur un ordinateur distant, un utilisateur doit démarrer le fichier pour activer les routines de ver. Lors de son installation sur le système, le ver se copie dans le répertoire de démarrage Windows CurrentUser avec le nom "Gspot.exe" et définit les attributs cachés et système pour cette copie. Au prochain démarrage de Windows, le ver est automatiquement exécuté par Windows (placé dans le dossier Démarrage), exécute deux threads (processus d'arrière-plan) et reste dans la mémoire de Windows. Sous Win9x, le ver s'inscrit également comme un processus caché (service) (non visible dans la liste des tâches). Les threads du ver effectuent deux actions: Le 1er thread signale "Je suis noeud Gnutella, et voici le fichier que vous recherchez." Le 2ème thread envoie "le nom de fichier que vous recherchez" avec l'extension ".exe", et avec le code de ver dedans. Le code du ver contient des chaînes de texte "copyright": [Gspot 1-] librement partagé par mandragore / 29A
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

P2P-Worm.Win32.Mandragore

Détails techniques