28 lutego 2001

Gnutella-Worm.Mandragore - korzysta z popularnego systemu wymiany plików

Jest to internetowy robak Win32 o rozmiarze 8192 bajtów. W celu rozprzestrzeniania się wirus wykorzystuje system wymiany plików Gnutella.

W zainfekowanym systemie robak rejestruje się jako węzeł sieci Gnutella, oczekuje na żądania pobierania plików i odpowiada na nie pozytywnie. Szkodnik oferuje plik o nazwie wyszukiwanej przez użytkownika systemu Gnutella, z rozszerzeniem EXE. Jeśli zdalny użytkownik pobierze ten plik, otrzyma "w prezencie" kopię wirusa. Robak nie może samoczynnie uaktywnić się na zdalnym komputerze - użytkownik musi uruchomić pobrany plik.

Podczas instalacji w systemie, wirus kopiuje się do katalogu Windows\CurrentUser z nazwą "Gspot.exe" i ustawia swój plik jako ukryty.

Podczas kolejnego startu Windows, robak jest aktywowany przez system operacyjny, uruchamia dwa wątki (procesy działające w tle) i pozostaje w pamięci systemowej. W systemach Win9x robak dodatkowo rejestruje się jako ukryty proces i dzięki temu nie widać go na liście zadań.

Pierwszy wątek robaka wysyła komunikat "I'm Gnutella node, and here is file you are looking for". Natomiast drugi wątek wysyła plik EXE z kopią wirusa.

W kodzie robaka znajdują się sygnatura autora:

[Gspot 1ß]
freely shared by mandragore/29A