697160

W32/Choke

03.08.2001 | 16:02 Uhr |

Der erstmals in den Niederlanden aufgetauchte Computerwurm W32/Choke ist seit Juni bekannt. In den letzten Tagen hat er sich verstärkt ausgebreitet, wobei Choke den MSN Instant Messenger benutzt.

Genaue Bezeichnung

W32/Choke

Aliasnamen

I-Worm.Choke, Win32.Choke, W32/Choke.Worm

Typ

Wurm

Erstes Auftreten

Juni 2001

Verbreitung

gering

Wirkung/Schaden

Bei Choke handelt es sich um einen in Visual Basic programmierten Win32-Wurm. Der Schädling kopiert sich in das Verzeichnis c:\choke.exe und trägt sich in den Registry Key HKCU\Software\Microsoft\Windows \CurrentVersion\Run\ mit "Choke" ein. Dadurch wird der Wurm bei jedem Windows-Start aktiviert.Wenn der Wurm das erste Mal ausgeführt wird, zeigt er zwei Dialog-Boxen an. In der ersten heißt es "This program needs Flash 6.5 to run!", die zweite lautet: "Cannot run program!, Quitting".Der Wurm erzeugt außerdem eine about.txt-Datei in C:\ mit dem folgendem Text: "Choke, Copyright ® 1886 ... A MAD CHRISTIAN---------------------------------------Go talk swearwords about GodYou all will die, stupid humans.You fools didn't see what you have doneBye slut, go talk shit about me.(Call me a 'psychophatt', but I respect the Creator of life...)' Consider your earth ' ".

Infektionsweg

Sobald vom infizierten PC aus mit dem MSN Messenger eine Chat-Verbindung mit einem anderem PC hergestellt wird, verbreitet sich der Wurm. Dabei wird eine Nachricht angezeigt: "President bush shooter is game that allows you to shoot Bush balzz hahaha ".

Besonderheiten

Die .EXE-Datei kann verschiedene Namen führen, zum Beispiel ShootPresidentBUSH.exe, Choke.exe, [Vorname des Versenders].exe oder Hotmail.exe. Alias-Namen sind I-Worm.Choke, Win32.Choke, W32/Choke.Worm.

Was Sie tun können

Alle gängigen Virenscanner sollten den Wurm erkennen, da seine Existenz bereits seit Juni bekannt ist.

Weitere Infos

Sophos

0 Kommentare zu diesem Artikel
697160