News 12.03.2001, 15:00 Uhr

W32.GnutellaMan (Mandragore)

Auf Benutzer, die via «Gnutella» Dateien austauschen, hat es dieser Wurm abgesehen.
Auf infizierten PCs registriert sich der Wurm als Teil des Gnutella Netzwerks und belauscht die anderen Gnutella Such-Anfragen. Erspäht er eine Anfrage, bietet er sich gleich selber zum Download an, und zwar unter genau dem Begriff, nach welchem gesucht wurde. Sucht also beispielsweise ein anderer Gnutella-Benutzer nach "Aepfel und Birnen", meldet der infizierte PC einen vermeintlichen Treffer und offeriert eine Kopie des Wurms unter dem Dateinamen "Aepfel und Birnen.EXE". Auf diese Weise verleitet der Wurm ahnungslose Gnutella-Benutzer dazu, die Datei herunterzuladen.
Wird die Datei ausgeführt, kopiert sich der Schädling unter dem Dateinamen GSPOT.EXE in den Autostart-Ordner, damit er bei jedem Windows-Start geladen wird. Sollte Ihr PC bereits mit Gnutella-Mandragore infiziert sein, reicht es in der Regel, die Datei GSPOT.EXE aus dem Autostart-Ordner zu löschen und den PC neu zu starten. Die Datei ist übrigens mit dem "Versteckt"-Attribut versehen. Um sie im Windows Explorer zu entdecken, müssen Sie im Menü "Ansicht/Ordneroptionen/Ansicht" bei "Versteckte Dateien" die Option "Alle Dateien anzeigen" wählen.
Der Grund, warum Antivirus-Hersteller diesen Wurm "Gnutella Mandragore" nennen, liegt in seinem wahrscheinlichen Erfinder, der eine Art Unterschrift im Quellcode hinterlassen hat: "[Gspot 1ß]", "freely shared by mandragore/29A".
Weitere Info unter anderem bei McAfee [1].


Kommentare

Es sind keine Kommentare vorhanden.