Mandragore: новый интернет-червь распространяется среди пользователей Gnutella

Gnutella-Worm.Mandragore — вирус-червь, представляющий собой 8-килобайтную программу Win32. Червь распространяется с компьютера на компьютер при помощи сети обмена файлами Gnutella (peer-to-peer network, P2P, см. http://gnutella.wego.com) и заражает только Win32-системы.

На инфицированном компьютере червь регистрирует себя как ноду Gnutella, «слушает» запросы на поиск файлов в сети Gnutella и отвечает положительно на эти запросы. Т.е., если запрос на поиск файла Filename попадает на зараженный компьютер, то червь «отвечает», что такой файл есть и возвражает информацию об этом файле, при этом добавляет к имени файла EXE-расширение — «Filename.exe». Если затем следует запрос на «скачивание» этого файла, червь передает его по сети.

Червь не в состоянии самостоятельно запустить себя на удаленном компьютере, т.е. заражение очередного компьютера происходит только, если пользователь самостоятельно запустит полученный EXE-файл.

При заражении компьютера червь копирует себя в стартовый каталог Windows для текущего пользователя под именем «Gspot.exe» и устанавливает на свою копию атрибуты «скрытый» и «системный».

При следующем рестарте Windows червь автоматически активизируется (поскольку расположен в стартовом каталоге Windows) и остается в памяти Windows как активный процесс (под Win9x регистрируется как скрытый процесс).

Червь запускает две «нитки» своего процесса (фоновые подзадачи). Первая подзадача сообщает в сеть, что:
1) данный компьютер является нодой Gnutella;
2) положительно отвечает на поиск файлов в сети Gnutella.

Вторая подзадача передает по запросу копию червя с EXE-расширением.

Червь содержит строки текста:

[Gspot 1-] freely shared by mandragore/29A