ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

P2P-Worm.Win32.Mandragore

Clase P2P-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este gusano es una aplicación Win32 de 8192 bytes de longitud, solo puede infectar sistemas Win32. Para propagarse de computadora a computadora, el gusano utiliza la red de intercambio de archivos Gnutella punto a punto (P2P) (ver http://gnutella.wego.com).

En las computadoras infectadas, el gusano se registra a sí mismo como nodo de red Gnutella, escucha el tráfico de solicitudes de archivos y responde positivamente sobre estas solicitudes. El gusano informa el nombre del archivo que se está buscando, pero con extensión EXE. Si un usuario remoto obtiene esa respuesta y descarga el archivo, obtiene una copia del gusano en su máquina. El gusano no puede ejecutarse solo en la computadora remota, un usuario tiene que iniciar el archivo para activar las rutinas del gusano.

Mientras se instala en el sistema, el gusano se copia en el directorio de inicio del usuario actual de Windows con el nombre "Gspot.exe" y establece los atributos ocultos y del sistema para esa copia.

En el siguiente inicio de Windows, el gusano es ejecutado automáticamente por Windows (se coloca en la carpeta Inicio), ejecuta dos subprocesos (procesos en segundo plano) y permanece en la memoria de Windows. En Win9x, el gusano también se registra como un proceso oculto (de servicio) (no visible en la lista de tareas).

Los hilos del gusano realizan dos acciones:

El 1er hilo informa "Soy nodo Gnutella, y aquí está el archivo que estás buscando".

El segundo hilo envía "el nombre de archivo que está buscando" con la extensión ".exe" y con el código del gusano.

El código del gusano contiene cadenas de texto con "derechos de autor":

[Punto Gs 1]
libremente compartido por mandragore / 29A


Enlace al original