Kaspersky ha levantado el aviso, se acaba de descubrir un nuevo gusano
que bajo el nombre de «Mandrágora» (Mandragore ) afecta a los usuarios
del popular programa de intercambio de archivos Gnutella.
Gnutella es un programa de intercambio de archivos, que hace uso de la
tecnología P2P (Peer to Peer) extendida y popularizada por Napster.
Ahora que Napster parece que tiene los días contados, Gnutella será el
que ocupe ese puesto de honor al ser el que más usuarios hagan uso de
este software. Pero desde los laboratorios de Kaspersky llega un aviso
de algo que tarde o temprano se veía que tenía que ocurrir, una alerta
de seguridad relacionada con este tipo de tecnologías, en este caso se
trata de un nuevo gusano.
Las evidencias de que este tipo de tecnología se prestaba a la
propagación de código malicioso no es nueva, ya en mayo del pasado año
de la lista Bugtraq se habló de este tema a raíz de un estudio
realizado por Seth MacGann. Pero en el aviso de Kaspersky queda bien
claro que este es el primer patógeno que hace uso de esta tecnología
que se descubre «in the wild».
Si bien el nombre de Mandragore viene dado por su autor del ya
conocido grupo de programadores de virus 29A, ya que registra su
«firma» en una cadena dentro del código del gusano:
[Gspot 1-]
freely shared by mandragore/29A
«Mandragore» es un archivo EXE, que casi podríamos definir como a la
antigua usanza, programado en ensamblador y con un tamaño de 8192
bytes. Una vez que el archivo se ejecuta hace que el sistema se
registre como un nodo activo dentro de la red Gnutella e intercepta
todas las peticiones de búsqueda de archivos.
Cuando se detecta una petición el gusano devuelve un resultado
positivo y ofrece al usuario que realizo la petición la posibilidad
de recibir el fichero solicitado, aunque este no se encuentre en el
sistema. Para ocultar su intención maliciosa, Mandragore se renombra
con el nombre del archivo solicitado.
Pero tal y como aclara Kaspersky el gusano se reproduce a través de la
red de Gnutella, y es imposible que el virus penetre en un sistema que
no tenga algún software compatible con este sistema instalado, como
Gnotella, BearShare, LimeWire o ToadNode.
Al realizar la infección el gusano se copia asimismo en la carpeta de
inicio de Windows con el nombre de «gspot.exe» y se aplica los
atributos de sistema y oculto. Mediante este primitivo sistema el
virus logra permanecer oculto e iniciarse de forma automática cada
vez que se inicia el ordenador, de forma que permanece en la memoria
como proceso activo.
antonior@hispasec.com
Más información:
AVP
http://www.avp.ru/news.asp?tnews=0&nview=1&id=162&page=0
Viruslist
http://www.viruslist.com/eng/viruslist.asp?id=4161&key=000010001300006
Deja una respuesta