|
Поделиться
Поделиться
В Gnutella завелся червь
"Лаборатория Касперского" сообщила об обнаружении нового сетевого червя - Mandragore, использующего для своего распространения сеть обмена файлами Gnutella, работающую по технологии Peer-to-Peer (P2P).Возможность существования подобных червей была открыта еще в мае 2000 Сетом МакГэном, опубликовавшем свое исследование в популярной электронной конференции BugTraq. Несмотря на это, до сих пор не было зарегистрировано ни единого случая появления подобных вредоносных программ. Сейчас, по некоторым данным, зарегистрировано несколько десятков зараженных компьютеров.
Mandragore представляет собой EXE-файл, написанный на языке программирования Ассемблер и имеющий длину 8192 байта. При запуске этого файла червь регистрирует себя как активный узел сети Gnutella и отслеживает все сетевые запросы на поиск файлов. При обнаружении запросов, вне зависимости от наличия искомых файлов на зараженной системе, Mandragore возвращает положительный результат поиска и предлагает пользователю загрузить их. Для маскировки он переименовывает свою копию в соответствии с полученным запросом. Таким образом, если пользователь послал запрос на поиск файла "How to become a millionaire", то зараженная система предложит ему загрузить файл "How to become a millionaire.exe". Важно отметить, что червь абсолютно неработоспособен, если на компьютере не установлен один из клиентов, поддерживающий стандарт обмена данных Gnutella, таких как Gnotella, BearShare, LimeWire или ToadNode. При заражении компьютера червь копирует себя в каталог автозапуска программ Windows для текущего пользователя. Копируется червь под именем GSPOT.EXE и устанавливает на свою копию атрибуты "скрытый" и "системный". При следующей загрузке Windows червь автоматически активизируется и остается в памяти как активный процесс (под Windows 9x он регистрируется как скрытый процесс).
"Данный червь не имеет побочных действий, кроме незначительного увеличения потока исходящих данных. Его главная опасность - не уничтожение важных файлов или разглашение конфиденциальной информации, а огромный ущерб репутации компаний и частных лиц, подвергшихся заражению. Вряд ли сам факт присутствия вредоносных кодов в компьютерных системах может способствовать налаживанию новых деловых связей и привлечению новых клиентов", - комментирует Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".
Для предотвращения проникновения Mandragore на компьютер нельзя ни в коем случае запускать EXE-файлы длиной 8192 байта, которые могут быть предложены для загрузки через сеть Gnutella. В случае, если компьютер все же подвергся заражению червем, "Лаборатория Касперского" рекомендует удалить файл GSPOT.EXE в каталоге автозапуска программ для текущего пользователя и перезагрузить компьютер.
Короткая ссылка
