Virus: W32/Choke.d.worm. Otra variante del Choke en el Messenger

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 426 - Año 5 - Viernes 7 de setiembre de 2001

Nombre: W32/Choke.d.worm
Tipo: Gusano de Internet
Fecha: 6/set/01
Tamaño: 16,384 bytes

Esta nueva versión del Choke, se propaga como las anteriores, a través del programa de mensajería instantánea MSN Messenger.

Si el Messenger no está instalado, el gusano igualmente podrá instalarse en la computadora infectada, pero no podrá propagarse.

El gusano es una aplicación creada en Visual Basic, y se presenta como UNTITLED.JPEG.EXE.

Cuando se ejecuta, el gusano no muestra ninguna indicación de su presencia, grabándose automáticamente en memoria. Al pulsar CTRL+ALT+SUPR aparecerá en la lista de tareas con el nombre de "JK").

El gusano también se enganchará a los eventos del Messenger, y creará luego una entrada al registro, para ejecutarse en futuros reinicios:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MSN Messenger="[Camino del gusano]\UNTITLED.JPEG.exe"

Ya en memoria, el gusano monitorea todos los mensajes nuevos que lleguen a la PC, y los responde enviando mensajes con estos datos:

finally got a new pic! :-)

Archivo adjunto: UNTITLED.JPEG.exe

Para limpiar su PC

Si su PC se infecta, ejecute uno o más antivirus al día, y luego borre los archivos detectados como "Choke", "Choke.d", etc.

Borre con REGEDIT (Inicio, Ejecutar, Regedit y Enter), la clave "MSN Messenger" de la siguiente rama (pinchar en la carpeta "Run" y borrar "MSN Messenger" en la ventana de la derecha):

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

Fuente: Network Associates
(c) Video Soft - http://www.videosoft.net.uy