P2P-Worm.Win32.Mandragore

Класс P2P-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Представляет собой 8-килобайтную программу Win32 и заражает только Win32-системы. Распространяется с компьютера на компьютер при помощи сети обмена файлами Gnutella.

На зараженном компьютере червь регистрирует себя как ноду Gnutella, «слушает» запросы на поиск файлов в сети Gnutella и отвечает положительно на эти запросы. Т.е., если запрос на поиск файла Filename попадает на зараженный компьютер, то червь «отвечает», что такой файл есть и возвражает информацию об этом файле, при этом добавляет к имени файла EXE-расширение — Filename.exe. Если затем следует запрос на «скачивание» этого файла, червь передает его по сети.

Червь не в состоянии самостоятельно запустить себя на удаленном компьютере, т.е. заражение очередного компьютера происходит только, если пользователь самостоятельно запустит полученный EXE-файл.

При заражении компьютера червь копирует себя в стартовый каталог Windows для текущего пользователя. Копируется червь под именем Gspot.exe и устанавливает на свою копию атрибуты «скрытый» и «системный».

При следующем рестарте Windows червь автоматически активизируется (поскольку расположен в стартовом каталоге Windows) и остается в памяти Windows как активный процесс (под Win9x регистрируется как скрытый процесс).

Червь запускает две «нитки» своего процесса (фоновые подзадачи). Первая подзадача сообщает в сеть, что:

  1. данный компьютер является нодой Gnutella;
  2. положительно отвечает на поиск файлов в сети Gnutella.

Вторая подзадача передает по запросу копию червя с EXE-расширением.

Червь содержит строки текста:

[Gspot 1-]
freely shared by mandragore/29A