[hackmeeting] Gnutella/Mandragore.Worm. Primer virus �Peer-To-Peer�

Hubble Hubble en flashmail.com
Jue Mar 1 00:44:50 CET 2001 

Bueno, ya lleg�...

adioses,
_____________________________________________________________

1 - Gnutella/Mandragore.Worm. Primer virus �Peer-To-Peer�
_____________________________________________________________

Nombre: Gnutella/Mandragore.Worm
Tipo: Caballo de Troya, gusano de P2P (Peer-To-Peer)
Tama�o: 8192 bytes
Fecha: 26/feb/01
Alias: Mandragore, GnutellaMandragore, Gnutella worm, Gspot
trojan, Win32.Gspot trojan, Gnutella-Worm.Mandragore,
TROJ_MANDRAGORE, W32.Gspot.Worm, W32/GnutellaMan

Se trata del primer virus (troyano) que afecta la tecnolog�a
P2P (Peer-To-Peer), utilizada para compartir archivos entre
computadoras "punto a punto".

PEER-TO-PEER significa "De semejante a semejante", y su
traducci�n m�s exacta aunque no literal ser�a "entre pares",
o sea "punto a punto" (computadora a computadora, en lugar de
computadora a servidor).

En este caso, este virus afecta el popular programa
"Gnutella", que como Napster, es usado para intercambiar
archivos musicales (y otros tipos de archivos) entre
usuarios, directamente de computadora a computadora.

Este troyano, llamado "GnutellaMandragore" por referencia a
su supuesto autor, aparenta ser una simple "prueba de
concepto" (demuestra que se puede hacer algo as�), y su mayor
da�o en esta etapa, es consumir un importante ancho de banda.

Cuando el virus se ejecuta, intentar� conectarse a la red de
Gnutella, mostr�ndose como un archivo musical cuando alguien
en la red lo interroga en busca de un archivo de esas
caracter�sticas.

Una vez instalado, aparenta ser un nodo m�s de esta red, y se
pondr� a la escucha en el puerto 99 del sistema (Gnutella
utiliza por defecto el puerto 6000).

Luego de ello, si un usuario no infectado busca en la red un
archivo MP3 como "U2 beautiful day" (es un ejemplo), el
virus, desde la computadora infectada, le devolver� la
existencia de ese archivo, pero se tratar� de un ejecutable
.EXE en lugar de un .MP3, adem�s de ocupar solo 8 Kbs (8192
bytes).

Si el usuario baja dicho archivo, y lo ejecuta, el virus se
instalar� en su sistema, y se pondr� a la escucha de nuevas
b�squedas.

Para ejecutarse correctamente en la PC infectada con cada
inicio del sistema, el virus agregar� un archivo GSPOT.EXE al
directorio de inicio del usuario actual, con atributos de
archivo de sistema y oculto (+S+H). Tambi�n intentar�
registrarse como un servicio (proceso oculto), en Windows
2000/NT.

El troyano contiene el siguiente c�digo, que nunca es
mostrado:

  [Gspot 1-]
  freely shared by mandragore/29A

El hecho de que se muestre como un archivo de solo 8192 bytes
en la pantalla del Gnutella, posiblemente disuada a muchos
usuarios a no bajarlo.

Si usted es usuario de Gnutella, no baje archivos de ese
tama�o a su computadora.

Fuentes: Virus Attack!, F-Secure, Sophos, Trend Micro,
Computer Associates, Kaspersky


VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
VSantivirus No. 235 - A�o 5 - Mi�rcoles 28 de febrero de 2001

M�s informaci�n sobre la lista de distribuci�n HackMeeting