Класс | P2P-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Представляет собой 8-килобайтную программу Win32 и заражает только Win32-системы. Распространяется с компьютера на компьютер при помощи сети обмена файлами Gnutella. На зараженном компьютере червь регистрирует себя как ноду Gnutella, «слушает» запросы на поиск файлов в сети Gnutella и отвечает положительно на эти запросы. Т.е., если запрос на поиск файла Filename попадает на зараженный компьютер, то червь «отвечает», что такой файл есть и возвражает информацию об этом файле, при этом добавляет к имени файла EXE-расширение — Filename.exe. Если затем следует запрос на «скачивание» этого файла, червь передает его по сети. Червь не в состоянии самостоятельно запустить себя на удаленном компьютере, т.е. заражение очередного компьютера происходит только, если пользователь самостоятельно запустит полученный EXE-файл. При заражении компьютера червь копирует себя в стартовый каталог Windows для текущего пользователя. Копируется червь под именем Gspot.exe и устанавливает на свою копию атрибуты «скрытый» и «системный». При следующем рестарте Windows червь автоматически активизируется (поскольку расположен в стартовом каталоге Windows) и остается в памяти Windows как активный процесс (под Win9x регистрируется как скрытый процесс). Червь запускает две «нитки» своего процесса (фоновые подзадачи). Первая подзадача сообщает в сеть, что:
Вторая подзадача передает по запросу копию червя с EXE-расширением. Червь содержит строки текста:
|