Класс | P2P-Worm |
Платформа | Win32 |
Описание |
Technical DetailsВирус-червь. Представляет собой 8-килобайтную программу Win32 и заражает только Win32-системы. Распространяется с компьютера на компьютер при помощи сети обмена файлами Gnutella. На зараженном компьютере червь регистрирует себя как ноду Gnutella, “слушает” запросы на поиск файлов в сети Gnutella и отвечает положительно на эти запросы. Т.е., если запрос на поиск файла Filename попадает на зараженный компьютер, то червь “отвечает”, что такой файл есть и возвражает информацию об этом файле, при этом добавляет к имени файла EXE-расширение – Filename.exe. Если затем следует запрос на “скачивание” этого файла, червь передает его по сети. Червь не в состоянии самостоятельно запустить себя на удаленном компьютере, т.е. заражение очередного компьютера происходит только, если пользователь самостоятельно запустит полученный EXE-файл. При заражении компьютера червь копирует себя в стартовый каталог Windows для текущего пользователя. Копируется червь под именем Gspot.exe и устанавливает на свою копию атрибуты “скрытый” и “системный”. При следующем рестарте Windows червь автоматически активизируется (поскольку расположен в стартовом каталоге Windows) и остается в памяти Windows как активный процесс (под Win9x регистрируется как скрытый процесс). Червь запускает две “нитки” своего процесса (фоновые подзадачи). Первая подзадача сообщает в сеть, что:
Вторая подзадача передает по запросу копию червя с EXE-расширением. Червь содержит строки текста:
|
Узнай статистику распространения угроз в твоем регионе |