Alias: "W32/GnutellaMan", "Mandragore", "Gnutella worm", "W32/Gnuman.worm", "Gspot trojan", "TROJ_MANDRAGORE", "W32-Gspot.Worm".
Fecha de aparición: finales de febrero de 2001.

Este gusano de Internet se propaga a través del sistema "peer-to-peer" de intercambio de archivos Gnutella y aunque los expertos ya conocían la posibilidad de infección de este tipo de red, este es el primer virus creado. Al igual que los virus "Hybris" y "Happy99", este gusano vigila las direcciones de la agenda de correo electrónico y busca las direcciones de red del equipo. Así, cuando un usuario se conecta a Gnutella, el gusano busca los archivos solicitados, normalmente archivos de música, y se adhiere a ellos.

"Mandragore" cambia constantemente de forma para engañar a sus víctimas, por lo que podríamos calificarlo de troyano pero se puede reconocer por su tamaño de 8.192 bytes. El virus se copia a sí mismo en la carpeta StartUp como un archivo oculto con el nombre GSPOT.EXE esperando a que un internauta busque en la red un archivo concreto, "Mandragore" se hará pasar por un archivo EXE que se ajusta a los contenidos de su búsqueda. Si el usuario se baja este archivo y lo ejecuta, se infecta el equipo.

El peligro del gusano no es importante, más allá de un menor incremento del tráfico saliente y un adicional consumo de los recursos del sistema. Su peligrosidad se centra más en poner en duda la seguridad de las redes "peer-to-peer".