Kaspersky Threats — Mandragore

Clase

Plataforma

Descripción

Detalles técnicos

Este gusano es una aplicación Win32 de 8192 bytes de longitud, solo puede infectar sistemas Win32. Para propagarse de computadora a computadora, el gusano utiliza la red de intercambio de archivos Gnutella punto a punto (P2P) (ver http://gnutella.wego.com).

En las computadoras infectadas, el gusano se registra a sí mismo como nodo de red Gnutella, escucha el tráfico de solicitudes de archivos y responde positivamente sobre estas solicitudes. El gusano informa el nombre del archivo que se está buscando, pero con extensión EXE. Si un usuario remoto obtiene esa respuesta y descarga el archivo, obtiene una copia del gusano en su máquina. El gusano no puede ejecutarse solo en la computadora remota, un usuario tiene que iniciar el archivo para activar las rutinas del gusano.

Mientras se instala en el sistema, el gusano se copia en el directorio de inicio del usuario actual de Windows con el nombre "Gspot.exe" y establece los atributos ocultos y del sistema para esa copia.

En el siguiente inicio de Windows, el gusano es ejecutado automáticamente por Windows (se coloca en la carpeta Inicio), ejecuta dos subprocesos (procesos en segundo plano) y permanece en la memoria de Windows. En Win9x, el gusano también se registra como un proceso oculto (de servicio) (no visible en la lista de tareas).

Los hilos del gusano realizan dos acciones:

El 1er hilo informa "Soy nodo Gnutella, y aquí está el archivo que estás buscando".

El segundo hilo envía "el nombre de archivo que está buscando" con la extensión ".exe" y con el código del gusano.

El código del gusano contiene cadenas de texto con "derechos de autor":

[Punto Gs 1]
libremente compartido por mandragore / 29A

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	P2P-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este gusano es una aplicación Win32 de 8192 bytes de longitud, solo puede infectar sistemas Win32. Para propagarse de computadora a computadora, el gusano utiliza la red de intercambio de archivos Gnutella punto a punto (P2P) (ver http://gnutella.wego.com). En las computadoras infectadas, el gusano se registra a sí mismo como nodo de red Gnutella, escucha el tráfico de solicitudes de archivos y responde positivamente sobre estas solicitudes. El gusano informa el nombre del archivo que se está buscando, pero con extensión EXE. Si un usuario remoto obtiene esa respuesta y descarga el archivo, obtiene una copia del gusano en su máquina. El gusano no puede ejecutarse solo en la computadora remota, un usuario tiene que iniciar el archivo para activar las rutinas del gusano. Mientras se instala en el sistema, el gusano se copia en el directorio de inicio del usuario actual de Windows con el nombre "Gspot.exe" y establece los atributos ocultos y del sistema para esa copia. En el siguiente inicio de Windows, el gusano es ejecutado automáticamente por Windows (se coloca en la carpeta Inicio), ejecuta dos subprocesos (procesos en segundo plano) y permanece en la memoria de Windows. En Win9x, el gusano también se registra como un proceso oculto (de servicio) (no visible en la lista de tareas). Los hilos del gusano realizan dos acciones: El 1er hilo informa "Soy nodo Gnutella, y aquí está el archivo que estás buscando". El segundo hilo envía "el nombre de archivo que está buscando" con la extensión ".exe" y con el código del gusano. El código del gusano contiene cadenas de texto con "derechos de autor": [Punto Gs 1] libremente compartido por mandragore / 29A
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

P2P-Worm.Win32.Mandragore

Detalles técnicos