GUSANO

Choke

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: I-Worm.Choke, Win32.Choke, W32/Choke.Worm, Choke, I-Worm/Choe, W32/Choke.A

Este gusano de Internet escrito en Visual Basic 6.0 y descubierto el 6 de Junio de 2001 parece tener su procedencia en los Países Bajos. Junto con Hello, es el segundo gusano conocido que utiliza el programa de mensajería instantánea MSN Messenger de Microsoft para difundirse.

Para poder distribuirse a los usuarios que estén en una sesión MSN Messenger, necesita encontrar la librería MSVBVM6.DLL, si no la encuentra, el gusano se instalará en el equipo pero no podrá acceder a los sistemas de los participantes en la charla.

El usuario infectado por Choke recibe el mensaje:

President bush shooter is game that allows you to shoot Bush balzz hahaha 

junto con un archivo que contiene el gusano de 40960 Bytes y su denominación puede variar, siendo los nombres de archivos más frecuentes: CHOKE.EXE, SHOOTPRESIDENTBUSH.EXE, o el nombre del usuario o del dominio correspondiente a la cuenta Messenger desde la que se ha enviado más la extensión .EXE.

En caso de ejecutar estos archivos, se abre una ventana de diálogo con el siguiente mensaje titulado “Choke" que dice: 

“This program needs Flash 6.5 to run!”

Haciendo click sobre el botón OK de la pantalla, se muestra otra ventana de dialogo titulada “Run Time error” con el texto “Cannot run program!, Quiting”. En realidad se trata de dos mensajes de error falsos para engañar al usuario de que se produjo un fallo durante la carga del programa, lo que aprovecha el gusano para quedarse residente.

Además, Choke crea una copia de si mismo como un archivo con el nombre CHOKE.EXE en el directorio raíz del disco C: y un fichero de texto ASCII de 317 bytes, ABOUT.TXT que contiene el siguiente texto:

“choke, Copyright r 1886 ... A MAD CHRISTIAN

Go talk swearwords about God
You all will die, stupid humans.
You fools didn’t see what you have done
Bye slut, go talk shit about me.
(Call me a ‘psychophatt’ but I respect
the Creator of life...)
‘ Consider your earth ‘

Con el fin de asegurar su ejecución en cada inicio de Windows, Choke crea una clave de registro:

HKCU\Software\Microsoft\Windows\currentVersion\Run\Choke=”C:\choke.exe-blahhh


Copyright © VIRUSPROT.COM