W32/Choke
Der erstmals in den Niederlanden aufgetauchte Computerwurm W32/Choke ist seit Juni bekannt. In den letzten Tagen hat er sich verstärkt ausgebreitet, wobei Choke den MSN Instant Messenger benutzt.
| Genaue Bezeichnung | W32/Choke |
|---|---|
| Aliasnamen | I-Worm.Choke, Win32.Choke, W32/Choke.Worm |
| Typ | Wurm |
| Erstes Auftreten | Juni 2001 |
| Verbreitung | gering |
| Wirkung/Schaden | Bei Choke handelt es sich um einen in Visual Basic programmierten Win32-Wurm. Der Schädling kopiert sich in das Verzeichnis c:\choke.exe und trägt sich in den Registry Key HKCU\Software\Microsoft\Windows \CurrentVersion\Run\ mit "Choke" ein. Dadurch wird der Wurm bei jedem Windows-Start aktiviert.Wenn der Wurm das erste Mal ausgeführt wird, zeigt er zwei Dialog-Boxen an. In der ersten heißt es "This program needs Flash 6.5 to run!", die zweite lautet: "Cannot run program!, Quitting".Der Wurm erzeugt außerdem eine about.txt-Datei in C:\ mit dem folgendem Text: "Choke, Copyright ® 1886 ... A MAD CHRISTIAN---------------------------------------Go talk swearwords about GodYou all will die, stupid humans.You fools didn't see what you have doneBye slut, go talk shit about me.(Call me a 'psychophatt', but I respect the Creator of life...)' Consider your earth ' ". |
| Infektionsweg | Sobald vom infizierten PC aus mit dem MSN Messenger eine Chat-Verbindung mit einem anderem PC hergestellt wird, verbreitet sich der Wurm. Dabei wird eine Nachricht angezeigt: "President bush shooter is game that allows you to shoot Bush balzz hahaha ". |
| Besonderheiten | Die .EXE-Datei kann verschiedene Namen führen, zum Beispiel ShootPresidentBUSH.exe, Choke.exe, [Vorname des Versenders].exe oder Hotmail.exe. Alias-Namen sind I-Worm.Choke, Win32.Choke, W32/Choke.Worm. |
| Was Sie tun können | Alle gängigen Virenscanner sollten den Wurm erkennen, da seine Existenz bereits seit Juni bekannt ist. |
| Weitere Infos | Sophos |
