Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Choke.worm (Shoot). Se propaga por el MSN Messenger
 
VSantivirus No. 334 - Año 5 - Jueves 7 de junio de 2001

Nombre: W32/Choke.worm (Shoot)
Tipo: Gusano de MSN Messenger
Alias: I-Worm.Choke, Win32.Choke, W32/Shoot.worm
Fecha: 6/jun/01
Tamaño: 40,960 bytes

Se trata del segundo virus que se propaga usando el MSN Messenger de Microsoft. Si este programa no está instalado el gusano no podrá propagarse a otras computadoras.

El gusano llega a través del MSN Messenger, como una aplicación de Visual Basic.

El nombre del archivo puede variar, aunque siempre tendrá la extensión .EXE.

Cuando se ejecuta este archivo, el gusano muestra una ventana como la siguiente:

Choke
This program needs Flash 6.5 to run!
[   Aceptar   ]

Si se pincha en [Aceptar] aparece otro mensaje:

Run time error
Cannot run program!, Quiting
[   Aceptar   ]

Luego de ello, el gusano se copia a si mismo en la raíz de la unidad de disco actual. Por ejemplo en C:

C:\CHOKE.EXE
C:\[nombre de dominio].EXE (ej. HOTMAIL.EXE)
C:\[primer nombre del usuario].EXE (ej. JOSE.EXE)
C:\ABOUT.TXT

Este último archivo contiene el siguiente texto:

Choke , Copyright ® 1886 ... A MAD CHRISTIAN
--------------------------------------------
Go talk swearwords about God
You all will die, stupid humans.
You fools didn't see what you have done
Bye slut, go talk shit about me.
(Call me a 'psychophatt', but I respect the Creator of life...)
' Consider your earth '

El registro es modificado para cargar el gusano en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Choke = "C:\choke.exe -blahhh"

El parámetro "-blahhh" es usado para suprimir los mensajes anteriores, de modo que aquellos solo se muestran cuando se produce la primera ejecución del virus (al arribar el archivo).

Al ejecutarse, el gusano se puede enviar a si mismo a los usuarios del MSN con los que converse el usuario infectado. Cuando el archivo es enviado, también se envía este mensaje:

President bush shooter is game that allows you to shoot Bush balzz hahaha

El nombre del adjunto varía y puede usar alguno de los siguientes:

ShootPresidentBUSH.exe 
Choke.exe 
[primer nombre del usuario].exe 
Hotmail.exe

Para eliminarlo, borre los archivos mencionados antes.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha busque esta entrada:

Choke        "C:\choke.exe -blahhh"

4. Pinche sobre el nombre "Choke" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Ejecute uno o más antivirus al día.


Ver también:
 27/abr/01 - W32/Hello.worm. Primer virus para el MSN Messenger
15/dic/00 - El AOL Instant Messenger nos deja vulnerables a un ataque

(c) Video Soft - http://www.videosoft.net.uy

  

Copyright 1996-2001 Video Soft BBS