Вирус Mandragore поразил Gnutella, популярную службу обмена файлами

Представители Gnutella, популярной службы совместного использования файлов, сообщили об обнаружении первого вируса, затронувшего одноранговую сеть.

Вирус, получивший название W32/Gnuman.worm или Mandragore, «маскируется» под обычный файл, передаваемый в ответ на запрос. По данным производителей антивирусного ПО, на самом деле файл представляет собой исполняемый модуль, который при запуске программы заражает компьютер пользователя.

После того как компьютер инфицирован, вирус маскируется так, чтобы создать у других пользователей Gnutella впечатление, что на самом деле это файл, содержащий музыкальную запись в формате MP3 или изображение. Каждый раз, когда пользователь Gnutella выполняет поиск медиа-файлов на инфицированном компьютере, вирус передается как ответ на запрос. Если, к примеру, человек ищет песню, содержащую слово rare pictures of butterflies, то инфицированный компьютер вернет в качестве ответа на запрос файл rare pictures of butterflies.exe.

Специалисты компании McAfee сообщили об обнаружении вируса 26 февраля, но пока источник его остается невыясненным. В McAfee утверждают, что пока риск распространения этого вируса достаточно мал. Прежде всего, его могут «подхватить» лишь пользователи, работающие с инструментарием, совместимым с Gnutella, таким как Gnotella, BearShare, LimeWire или ToadNode. Кроме того, серьезного вреда он не может нанести. Хотя критически важным файлам Mandragore не угрожает, ведущие производители антивирусного ПО, в частности Computer Associates, Sophos и «Лаборатория Касперского», опубликовали информацию, касающуюся этого вируса.

Если запустить поиск песни, содержащей слово rare pictures of butterflies, то инфицированный компьютер вернет в качестве ответа на запрос файл rare pictures of butterflies.exe

Хотя сам по себе Mandragore может серьезно угрожать системным ресурсам, он способен открыть путь для атак на популярные одноранговые приложения в целом.

«Вполне возможно, что это своего рода рекогносцировка перед более масштабной атакой, — считает Винсент Джилотто, директор службы немедленной антивирусной помощи компании McAfee. — Этот вирус высвечивает потенциально уязвимые места в системах одноранговой связи».

Джилотто предупредил, что ситуацией могут воспользоваться люди, желающие организовать атаку на одноранговые сети, и особенно те, кому не по душе популярность Napster.

В худшем случае автор вируса мог бы создать программу, способную сканировать жесткий диск пользователя при поиске файлов в формате MP3 или получить доступ к папке и удалить всю информацию, которая в ней содержится.

В McAfee по-прежнему считают, что в ближайшее время электронная почта останется наиболее действенным способом передачи вирусов. Хотя Napster обслуживает миллионы пользователей, его приложения пока не сравнялись по популярности с электронной почтой.

После заражения ПК вирус копирует себя в папку начальной загрузки Windows под именем GSPOT.exe и присваивает этому файлу атрибуты «системный» и «скрытый». В силу этого вредоносный код сохраняется и оказывается в системной памяти ПК всякий раз при перезагрузке машины. Большинство производителей антивирусных программ уже выпустили версии своих пакетов, способные справиться с вирусом.

Поделитесь материалом с коллегами и друзьями