Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Gnutella/Mandragore.Worm. Primer virus "Peer-To-Peer"
 
VSantivirus No. 235 - Año 5 - Miércoles 28 de febrero de 2001

Nombre: Gnutella/Mandragore.Worm
Tipo: Caballo de Troya, gusano de P2P (Peer-To-Peer)
Tamaño: 8192 bytes
Fecha: 26/feb/01
Alias: Mandragore, GnutellaMandragore, Gnutella worm, Gspot trojan, Win32.Gspot trojan, Gnutella-Worm.Mandragore, TROJ_MANDRAGORE, W32.Gspot.Worm, W32/GnutellaMan

Se trata del primer virus (troyano) que afecta la tecnología P2P (Peer-To-Peer), utilizada para compartir archivos entre computadoras "punto a punto".

PEER-TO-PEER significa "De semejante a semejante", y su traducción más exacta aunque no literal sería "entre pares", o sea "punto a punto" (computadora a computadora, en lugar de computadora a servidor).

En este caso, este virus afecta el popular programa "Gnutella", que como Napster, es usado para intercambiar archivos musicales (y otros tipos de archivos) entre usuarios, directamente de computadora a computadora.

Este troyano, llamado "GnutellaMandragore" por referencia a su supuesto autor, aparenta ser una simple "prueba de concepto" (demuestra que se puede hacer algo así), y su mayor daño en esta etapa, es consumir un importante ancho de banda.

Cuando el virus se ejecuta, intentará conectarse a la red de Gnutella, mostrándose como un archivo musical cuando alguien en la red lo interroga en busca de un archivo de esas características.

Una vez instalado, aparenta ser un nodo más de esta red, y se pondrá a la escucha en el puerto 99 del sistema (Gnutella utiliza por defecto el puerto 6000).

Luego de ello, si un usuario no infectado busca en la red un archivo MP3 como "U2 beautiful day" (es un ejemplo), el virus, desde la computadora infectada, le devolverá la existencia de ese archivo, pero se tratará de un ejecutable .EXE en lugar de un .MP3, además de ocupar solo 8 Kbs (8192 bytes).

Si el usuario baja dicho archivo, y lo ejecuta, el virus se instalará en su sistema, y se pondrá a la escucha de nuevas búsquedas.

Para ejecutarse correctamente en la PC infectada con cada inicio del sistema, el virus agregará un archivo GSPOT.EXE al directorio de inicio del usuario actual, con atributos de archivo de sistema y oculto (+S+H). También intentará registrarse como un servicio (proceso oculto), en Windows 2000/NT.

El troyano contiene el siguiente código, que nunca es mostrado:

[Gspot 1-]
freely shared by mandragore/29A

El hecho de que se muestre como un archivo de solo 8192 bytes en la pantalla del Gnutella, posiblemente disuada a muchos usuarios a no bajarlo.

Si usted es usuario de Gnutella, no baje archivos de ese tamaño a su computadora.

Fuentes: Virus Attack!, F-Secure, Sophos, Trend Micro, Computer Associates, Kaspersky

 

Copyright 1996-2001 Video Soft BBS