Worm/Gnutella.MG  alias P2P/Mandragore

 

Mandragore ist ein Wurm, der sich über das Gnutella-Netzwerk verbreitet. Gnutella ist vergleichbar mit Napster, einem auf Peer-to-Peer (P2P) basierenden File Sharing-Netzwerk. Um auf das Gnutella-Netzwerk zuzugreifen, werden Programme wie etwa ToadNode oder BearShare eingesetzt.

Bei diesem Wurm handelt es wohl eher um einen “Proof-of-Concept“, einem Machbarkeitsversuch. Es handelt sich nicht um einen schädlichen “Virus“. Anwender sind nur dann betroffen, wenn mit Gnutella-kompatiblen Programmen gearbeitet wird, d.h. dieser Wurm wird nur in Verbindung mit dem Gnutella-Netzwerk gefährlich.

Der Wurm selbst hat eine Länge von 8192 Bytes und ist eine Win32-Applikation. Wird der Wurm ausgeführt, kopiert dieser sich in den Autostart-Ordner des jeweiligen Users unter dem Dateinamen GSPOT.EXE. Die Datei selbst ist mit den Dateiattributen “System“ und “Versteckt“ versehen. Nach dem nächsten Windowsstart wird diese Datei automatisch ausgeführt und verbleibt als Hintergrundprozess resident im Arbeitsspeicher. Unter Windows 9x registriert sich der Wurm zusätzlich als versteckter Prozess, der nicht in der Taskleiste zu sehen ist.

 Der Wurm kontaktiert das Gnutella-Netzwerk. Ein infizierter Rechner beantwort als “Server“ Anfragen zu Dateien und kann durch die Vielzahl von Anfragen sehr leicht überlastet werden. Er stellt diejenige Datei, die den Wurmcode selbst enthält, zum Download zur Verfügung. Die Datei kann einen beliebigen Dateinamen haben.

 

 

 In diesem Beispiel wurde als Name der Datei “rare pictures of butterflies.exe“ gewählt. Diese Datei ist nach der Infektion im Gnutella-Netzwerk zu finden und kann von anderen Usern heruntergeladen werden. Bei dem Programm BearShare ist die Anzeige der Dateinamenserweiterungen standardmäßig abgeschaltet und sollte sicherheitshalber angeschaltet werden.

 

 

  weitere Virenbeschreibungen
  Virenkunde