Kaspersky Threats — Mandragore

Sınıf

Platform

Açıklama

Teknik detaylar

Bu solucan Win32 uygulaması 8192 bytes uzunluğundadır, sadece Win32 sistemlerini enfekte edebilir. Bilgisayardan bilgisayara yayılmak için solucan Gnutella peer-to-peer (P2P) dosya paylaşım ağını kullanır (bkz. Http://gnutella.wego.com).

Virüslü bilgisayarlarda solucan kendisini Gnutella ağ düğümü olarak kaydeder, dosya isteklerinin trafiğini dinler ve bu taleplere olumlu yanıt verir. Solucan, aranmakta olan dosya adını bildirir, ancak EXE uzantısı ile. Uzak bir kullanıcı bu yanıtı alırsa ve dosyayı indirirse, solucanın bir kopyasını makineye alır. Solucan kendi başına uzak bilgisayarda çalışamaz, bir kullanıcı solucan rutinlerini etkinleştirmek için dosyayı başlatmalıdır.

Kendisini sisteme yüklerken, solucan kendisini Windows Gdot.exe adıyla Windows CurrentUser başlangıç dizinine kopyalar ve bu kopya için gizli ve sistem özelliklerini ayarlar.

Bir sonraki Windows başlangıcında solucan otomatik olarak Windows tarafından çalıştırılır (Başlangıç klasörüne yerleştirilir), iki iş parçacığı (arka plan işlemleri) çalıştırır ve Windows belleğinde kalır. Win9x altında solucan kendini gizli (servis) bir işlem olarak da (görev listesinde görünmez) kaydeder.

Solucanın konuları iki eylem gerçekleştirir:

1. iş parçacığı "Ben Gnutella düğümüyim, ve işte aradığınız dosya."

İkinci iş parçacığı, ".exe" uzantısıyla "aradığınız dosya adını" ve solucan koduyla birlikte gönderir.

Solucan kodu "telif hakkı" metin dizelerini içerir:

[Gspot 1-]
mandragore / 29A tarafından paylaşılan

Orijinaline link

Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

Sınıf	P2P-Worm
Platform	Win32
Açıklama	Teknik detaylar Bu solucan Win32 uygulaması 8192 bytes uzunluğundadır, sadece Win32 sistemlerini enfekte edebilir. Bilgisayardan bilgisayara yayılmak için solucan Gnutella peer-to-peer (P2P) dosya paylaşım ağını kullanır (bkz. Http://gnutella.wego.com). Virüslü bilgisayarlarda solucan kendisini Gnutella ağ düğümü olarak kaydeder, dosya isteklerinin trafiğini dinler ve bu taleplere olumlu yanıt verir. Solucan, aranmakta olan dosya adını bildirir, ancak EXE uzantısı ile. Uzak bir kullanıcı bu yanıtı alırsa ve dosyayı indirirse, solucanın bir kopyasını makineye alır. Solucan kendi başına uzak bilgisayarda çalışamaz, bir kullanıcı solucan rutinlerini etkinleştirmek için dosyayı başlatmalıdır. Kendisini sisteme yüklerken, solucan kendisini Windows Gdot.exe adıyla Windows CurrentUser başlangıç dizinine kopyalar ve bu kopya için gizli ve sistem özelliklerini ayarlar. Bir sonraki Windows başlangıcında solucan otomatik olarak Windows tarafından çalıştırılır (Başlangıç klasörüne yerleştirilir), iki iş parçacığı (arka plan işlemleri) çalıştırır ve Windows belleğinde kalır. Win9x altında solucan kendini gizli (servis) bir işlem olarak da (görev listesinde görünmez) kaydeder. Solucanın konuları iki eylem gerçekleştirir: 1. iş parçacığı "Ben Gnutella düğümüyim, ve işte aradığınız dosya." İkinci iş parçacığı, ".exe" uzantısıyla "aradığınız dosya adını" ve solucan koduyla birlikte gönderir. Solucan kodu "telif hakkı" metin dizelerini içerir: [Gspot 1-] mandragore / 29A tarafından paylaşılan
	Orijinaline link
	Bölgenizde yayılan tehditlerin istatistiklerini öğrenin

P2P-Worm.Win32.Mandragore

Teknik detaylar