28 февраля 2001 г.

Обнаружен новый сетевой червь - Mandragore, использующий для своего распространения сеть обмена файлами Gnutella, работающую по технологии Peer-to-Peer (P2P).

    Mandragore представляет собой EXE-файл, написанный на языке программирования Ассемблер и имеющий длину 8192 Б, сообщает РБК. При запуске этого файла червь регистрирует себя как активный узел сети Gnutella и отслеживает все сетевые запросы на поиск файлов. При обнаружении запросов, вне зависимости от наличия искомых файлов на зараженной системе, Mandragore возвращает положительный результат поиска и предлагает пользователю загрузить их. Для маскировки он переименовывает свою копию в соответствии с полученным запросом. Таким образом, если пользователь послал запрос на поиск файла "How to become a millionaire", то зараженная система предложит ему загрузить файл "How to become a millionaire.exe". Важно отметить, что червь абсолютно неработоспособен, если на компьютере не установлен один из клиентов, поддерживающих стандарт обмена данных Gnutella, таких как Gnotella, BearShare, LimeWire или ToadNode. При заражении компьютера червь копирует себя в каталог автозапуска программ Windows для текущего пользователя под именем GSPOT.EXE и устанавливает на свою копию атрибуты "скрытый" и "системный". При следующей загрузке Windows червь автоматически активизируется и остается в памяти как активный процесс (под Windows 9x он регистрируется как скрытый процесс).

    Для предотвращения проникновения Mandragore на компьютер нельзя запускать EXE-файлы длиной 8192 байта, которые могут быть предложены для загрузки через сеть Gnutella. В случае если компьютер все же подвергся заражению червем, рекомендуется удалить файл GSPOT.EXE в каталоге автозапуска программ для текущего пользователя и перезагрузить компьютер.