Cambridge, Vereinigtes Koenigreich, 27. Februar 2001 - Kaspersky Labs, eine internationale Software-Firma im Bereich der Datensicherheit, warnt vor einem neuen Wurm namens "Mandragore", der sich über ein populäres auf der Technologie Peer-to-Peer basierendes Dateiaustausch-Netzwerk Gnutella ausbreitet.

Zum ersten Mal hat Seth MacGann auf die Fähigkeit dieses böswilligen Codes, in einem P2P Netzwerk zu existieren, im Mai 2000 hingewiesen. Ergebnisse seiner Untersuchung wurden in einer renommierten elektronischen Konferenz BugTraq veröffentlicht. Fast ein ganzes Jahr hat dieser böswillige Code keine Lebenszeichen von sich gegeben. Jetzt wurde er auch in der freien Wildbahn gesichtet. Kaspersky Lab liegen Informationen über ca. 20 Computer, die dieser Wurm infiziert hat, vor.

"Mandragore" ist eine .exe Datei, die in der Programmiersprache Assembler geschrieben wurde. Sie ist 8192 Bytes groß. Wird dieser Wurm ausgeführt, registriert er sich selbst im Gnutella-Netzwerk als aktiver Node und fängt alle eingehenden Suchanfragen ab. Fängt er eine Suchanfrage ab, gibt er eine positive Suchmeldung zurück und schlägt dem Benutzer vor, die gesuchte Datei herunterzuladen, selbst wenn die angeforderte Datei im infizierten System gar nicht vorhanden ist. Um seine böswilligen Absichten zu tarnen, benennt "Mandragore" seine Kopie laut der abgefangenen Anfrage um. So, wenn ein PC-Benutzer nach einer Datei sucht, die beispielsweise "How to become a millionaire" heißt, wird das infizierte System eine Datei mit dem Namen "How to become a millionaire.exe" zum Download anbieten. Es muss betont werden, dass der Wurm absolut funktionsunfähig ist auf den Computern, auf denen keine der Gnutella-kompatiblen Software installiert ist. Zu der o.g. Sofware gehören unter anderem Gnotella, BearShare, LimeWire oder ToadNode.

Bei Infizierung kopiert sich "Mandragore" in den Windowsstart-Ordner unter dem Namen "GSPOT.EXE", und verpasst sich die Attribute "system" und "hidden" in dieser Datei. Als Resultat übernimmt der Virus jedes Mal, wenn der Computer gebootet wird, die Kontrolle und bleibt aktiv im Systemspeicher.

"Dieser konkrete Wurm richtet keinen Schaden an, sieht man von einem kleinem Anstieg des ausgehenden Verkehrs und zusätzlich verbrauchten Systemressourcen ab. Mandragores Hauptgefahr ist nicht Vernichtung wichtiger Dateien oder Preisgebung vertraulicher Informationen, sondern Imageeinbusse, die ein Privatanwender oder ein Unternehmen erleiden können, die eine Wurmattacke nicht abwehren konnten. Ich zweifle daran, dass eine Infektion selbst mit einem kleineren Schadenspotenzial dabei helfen konnte, das Unternehmenswachstum zu fördern oder neue Kunden zu gewinnen ," sagt Denis Zenkin, Chef des Informationsdienstes von Kaspersky Lab.

Vorbeugung der Infektion und Virenentfernung

Um Eindringen des Wurmes in Ihren Computer zu verhindern, müssen Sie auf keinen Fall die .exe Dateien mit einer Größe von 8192 Byte öffnen. Selbst, wenn es um solche Dateien geht, die Ihnen zum Download über das Gnutella-Netzwerk angeboten werden. Wir raten Ihnen auch, den im Kaspersky™ Anti-Virus Standard-Paket enthaltenen Antiviren-Monitor einzusetzen. Durch die Echtzeit-Überprüfung aller Dateien, auf die zugegriffen wird, kann der Monitor die Wurmattacken wirksam abwehren und die Infektion verhindern, selbst wenn Sie versehentlich die infizierte Datei heruntergeladen haben .

Falls der "Mandragore" es geschafft hatte, in Ihren Computer einzudringen, raten wir Ihnen, die GSPOT.EXE Datei von dem Windowsstart-Ordner zu entfernen und das System wiederholt zu booten.

Ein Schutz-Modul gegen den "Mandragore" wurde schon dem täglichen Update der Kasperky Antiviren-Datenbank hinzugefügt. Nähere Informationen zu diesem Wurm können Sie in der Kaspersky Labs Virus-Enzyklopädie finden.

Weiterführende Links:

Ben Houston, "A P2P Virus: The "GnutellaMandragore" Virus"