Wurm kapert Gnutella-Verbindungen

Der neu entdeckte Mandragore-Wurm befällt die Rechner von Nutzern des Tauschdienstes Gnutella. Dabei tarnt sich der Schädling äußerst effektiv.

Gefährdet sind ausschließlich Systeme, auf denen Software für das Peer-to-Peer-Netz Gnutella läuft. Dazu zählen etwa die Programme Gnotella, BearShare, LimeWire or ToadNode.

Führt der Anwender Mandragore aus, kapert dieser aktive Gnutella-Verbindungen und fängt alle Suchanfragen ab. Den nachfragenden Peers bietet Mandragore sich immer unter dem Namen der gewünschten Datei zum Download an.

Auf dem befallenen Computer kopiert sich Mandragore als Datei Gspot.exe in den Windows-Autostart-Ordner. Durch diese Vorgehensweise übernimmt der Wurm jedesmal nach dem Booten die Kontrolle über das Wirtssystem.

Der 8192 Byte große Schädling richtet offensichtlich keinen Schaden auf dem infizierten Computer an. Daher gilt er unter Antivirus-Experten lediglich als "proof of concept", als Nachweis, dass sich Malware dieses Typs in einem P2P-Netz leicht verbreiten kann. Bereits im Mai 2000 wies Seth MacGann auf eine solche Möglichkeit hin und veröffentlichte die Ergebnisse seiner Nachforschungen auf der BugTraq-Mailingliste.

Verwirrung in der Newsgroup alt.gnutella: Wo kommen nur die ganzen 8-KByte-Dateien her?

Die großen Antiviren-Hersteller wie Kaspersky, NAI und Symantec haben auf die neue Gefahr reagiert und stellen auf ihren Websites aktualisierte Signaturdateien zur Verfügung. (tri)