Авторы
W32/Choke.worm — это второй вирус-червь после W32/Hello.worm, распространяющийся исключительно посредством MSN Messenger. Червь представляет собой приложение, написанное на Visual Basic.
Если на компьютере MSN Messenger не установлен, то червь инсталлирует себя, но распространяться, естественно, не сможет.
Червь попадает на машину в виде присоединенного к сообщению файла под различными именами, но всегда с разширением .EXE. Имена вложений могут быть следующими:
ShootPresidentBUSH.exe
Choke.exe
[имя отправителя].exe
Hotmail.exe
При активизации (открытии пользователем вложенного файла) червь выводит на дисплей message box с заголовком «Choke» и текстом:
«This program needs Flash 6.5 to run!»
При клике пользователя на кнопку «OK» появляется следующее окно с заголовком «Run time error» и текстом:
«Cannot run program!, Quiting»
Затем червь копирует себя в корневую директорию текущего жесткого диска инфицированного компьютера в виде трех файлов:
Червь также создает текстовый файл с именем «ABOUT.TXT», содержащий следующий текст:
Choke , Copyright ╝ 1886 … A MAD CHRISTIAN
—————————————
Go talk swearwords about God
You all will die, stupid humans.
You fools didn’t see what you have done
Bye slut, go talk shit about me.
(Call me a ‘psychophatt’, but I respect the Creator of life…)
‘ Consider your earth
Помимо прочего, червь модифицирует системный реестр, добавляя следующий ключ в секцию авто-запуска, чтобы обеспечить свое выполнение при каждом последующем старте системы:
HKCUSoftwareMicrosoftWindowsCurrentVersion
RunChoke=»C:choke.exe -blahhh»
Авторы
От тех же авторов
В той же категории
W32/Choke.worm засоряет MSN Messenger