Архив

W32/Choke.worm засоряет MSN Messenger

W32/Choke.worm — это второй вирус-червь после W32/Hello.worm, распространяющийся исключительно посредством MSN Messenger. Червь представляет собой приложение, написанное на Visual Basic.
Если на компьютере MSN Messenger не установлен, то червь инсталлирует себя, но распространяться, естественно, не сможет.

Червь попадает на машину в виде присоединенного к сообщению файла под различными именами, но всегда с разширением .EXE. Имена вложений могут быть следующими:

ShootPresidentBUSH.exe
Choke.exe
[имя отправителя].exe
Hotmail.exe

При активизации (открытии пользователем вложенного файла) червь выводит на дисплей message box с заголовком «Choke» и текстом:

«This program needs Flash 6.5 to run!»

При клике пользователя на кнопку «OK» появляется следующее окно с заголовком «Run time error» и текстом:

«Cannot run program!, Quiting»

Затем червь копирует себя в корневую директорию текущего жесткого диска инфицированного компьютера в виде трех файлов:

  • «CHOKE.EXE»,
  • [имя домена аккаунта MSN Messenger].EXE (например, HOTMAIL.EXE),
  • [имя пользователя MSN Messenger].EXE (например, JOHN.EXE).

    Червь также создает текстовый файл с именем «ABOUT.TXT», содержащий следующий текст:

    Choke , Copyright ╝ 1886 … A MAD CHRISTIAN

    —————————————

    Go talk swearwords about God

    You all will die, stupid humans.

    You fools didn’t see what you have done

    Bye slut, go talk shit about me.

    (Call me a ‘psychophatt’, but I respect the Creator of life…)

    ‘ Consider your earth

    Помимо прочего, червь модифицирует системный реестр, добавляя следующий ключ в секцию авто-запуска, чтобы обеспечить свое выполнение при каждом последующем старте системы:

    HKCUSoftwareMicrosoftWindowsCurrentVersion
    RunChoke=»C:choke.exe -blahhh»

  • W32/Choke.worm засоряет MSN Messenger

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

     

    Отчеты

    MosaicRegressor: угроза в недрах UEFI

    Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике