Архив

W32/Choke.worm засоряет MSN Messenger

W32/Choke.worm — это второй вирус-червь после W32/Hello.worm, распространяющийся исключительно посредством MSN Messenger. Червь представляет собой приложение, написанное на Visual Basic.
Если на компьютере MSN Messenger не установлен, то червь инсталлирует себя, но распространяться, естественно, не сможет.

Червь попадает на машину в виде присоединенного к сообщению файла под различными именами, но всегда с разширением .EXE. Имена вложений могут быть следующими:

ShootPresidentBUSH.exe
Choke.exe
[имя отправителя].exe
Hotmail.exe

При активизации (открытии пользователем вложенного файла) червь выводит на дисплей message box с заголовком «Choke» и текстом:

«This program needs Flash 6.5 to run!»

При клике пользователя на кнопку «OK» появляется следующее окно с заголовком «Run time error» и текстом:

«Cannot run program!, Quiting»

Затем червь копирует себя в корневую директорию текущего жесткого диска инфицированного компьютера в виде трех файлов:

  • «CHOKE.EXE»,
  • [имя домена аккаунта MSN Messenger].EXE (например, HOTMAIL.EXE),
  • [имя пользователя MSN Messenger].EXE (например, JOHN.EXE).

    Червь также создает текстовый файл с именем «ABOUT.TXT», содержащий следующий текст:

    Choke , Copyright ╝ 1886 … A MAD CHRISTIAN

    —————————————

    Go talk swearwords about God

    You all will die, stupid humans.

    You fools didn’t see what you have done

    Bye slut, go talk shit about me.

    (Call me a ‘psychophatt’, but I respect the Creator of life…)

    ‘ Consider your earth

    Помимо прочего, червь модифицирует системный реестр, добавляя следующий ключ в секцию авто-запуска, чтобы обеспечить свое выполнение при каждом последующем старте системы:

    HKCUSoftwareMicrosoftWindowsCurrentVersion
    RunChoke=»C:choke.exe -blahhh»

  • W32/Choke.worm засоряет MSN Messenger

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

    «Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике