[hackmeeting] Gnutella/Mandragore.Worm. Primer virus “Peer-To-Peer”

[Hubble]

Bueno, ya llegó...

adioses,
_____________________________________________________________

1 - Gnutella/Mandragore.Worm. Primer virus “Peer-To-Peer”
_____________________________________________________________

Nombre: Gnutella/Mandragore.Worm
Tipo: Caballo de Troya, gusano de P2P (Peer-To-Peer)
Tamaño: 8192 bytes
Fecha: 26/feb/01
Alias: Mandragore, GnutellaMandragore, Gnutella worm, Gspot
trojan, Win32.Gspot trojan, Gnutella-Worm.Mandragore,
TROJ_MANDRAGORE, W32.Gspot.Worm, W32/GnutellaMan

Se trata del primer virus (troyano) que afecta la tecnología
P2P (Peer-To-Peer), utilizada para compartir archivos entre
computadoras "punto a punto".

PEER-TO-PEER significa "De semejante a semejante", y su
traducción más exacta aunque no literal sería "entre pares",
o sea "punto a punto" (computadora a computadora, en lugar de
computadora a servidor).

En este caso, este virus afecta el popular programa
"Gnutella", que como Napster, es usado para intercambiar
archivos musicales (y otros tipos de archivos) entre
usuarios, directamente de computadora a computadora.

Este troyano, llamado "GnutellaMandragore" por referencia a
su supuesto autor, aparenta ser una simple "prueba de
concepto" (demuestra que se puede hacer algo así), y su mayor
daño en esta etapa, es consumir un importante ancho de banda.

Cuando el virus se ejecuta, intentará conectarse a la red de
Gnutella, mostrándose como un archivo musical cuando alguien
en la red lo interroga en busca de un archivo de esas
características.

Una vez instalado, aparenta ser un nodo más de esta red, y se
pondrá a la escucha en el puerto 99 del sistema (Gnutella
utiliza por defecto el puerto 6000).

Luego de ello, si un usuario no infectado busca en la red un
archivo MP3 como "U2 beautiful day" (es un ejemplo), el
virus, desde la computadora infectada, le devolverá la
existencia de ese archivo, pero se tratará de un ejecutable
.EXE en lugar de un .MP3, además de ocupar solo 8 Kbs (8192
bytes).

Si el usuario baja dicho archivo, y lo ejecuta, el virus se
instalará en su sistema, y se pondrá a la escucha de nuevas
búsquedas.

Para ejecutarse correctamente en la PC infectada con cada
inicio del sistema, el virus agregará un archivo GSPOT.EXE al
directorio de inicio del usuario actual, con atributos de
archivo de sistema y oculto (+S+H). También intentará
registrarse como un servicio (proceso oculto), en Windows
2000/NT.

El troyano contiene el siguiente código, que nunca es
mostrado:

  [Gspot 1-]
  freely shared by mandragore/29A

El hecho de que se muestre como un archivo de solo 8192 bytes
en la pantalla del Gnutella, posiblemente disuada a muchos
usuarios a no bajarlo.

Si usted es usuario de Gnutella, no baje archivos de ese
tamaño a su computadora.

Fuentes: Virus Attack!, F-Secure, Sophos, Trend Micro,
Computer Associates, Kaspersky


VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
VSantivirus No. 235 - Año 5 - Miércoles 28 de febrero de 2001