W32/Choke.worm

Bei der über den MSN Messenger [1] verbreiteten Datei handelt es sich um ein VisualBasic-Programm, das unter verschiedenen Dateinamen eintreffen könnte, z.B. Choke.exe, ShootPresidentBUSH.exe, Hotmail.exe oder (Absendername).exe.

Öffnet ein Benutzer die Wurm-Datei, legt der Wurm eine Kopie von sich direkt in C:\ ab. Diese Datei trägt der Choke-Wurm in der Windows Registry ein, und zwar unter diesem Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

Choke="C:\choke.exe -blahhh"

Damit stellt er sicher, dass er bei jedem Windows-Start geladen wird. Wird der Wurm ausgeführt, zeigt er eine Dialogbox an mit dem Text "This program needs Flash 6.5 to run!" und eine zweite mit einer Run time error Fehlermeldung: "Cannot run program!, Quiting". Screenshots der angezeigten Dialogboxen finden Sie z.B. bei Sophos [2].

Nun erstellt der Wurm in C:\ eine Datei namens about.txt, die unter anderem folgenden Text enthält: "Choke , Copyright ® 1886 ... A MAD CHRISTIAN"

Gemäss Informationen von McAfee [3] schickt sich der Wurm automatisch an jeden Benutzer, der mit dem Inhaber des infizierten PCs via MSN chattet. Der Begleit-Text der Datei lautet: "President bush shooter is game that allows you to shoot Bush balzz hahaha".

Vermeiden Sie eine Infektion Ihres PCs, indem Sie keine Dateien ausführen, die Ihnen von anderen Benutzern via MSN Messenger zugestellt werden. Um den Schädling loszuwerden, scannen Sie Ihr System mit einem aktualisierten Virenscanner und entfernen Sie alle als infiziert gemeldeten Dateien.