Der Wurm wurde seit Anfang Juni 2001 schon in "freier Wildbahn" gesichtet. W32/Choke verbreitet sich nicht über die Mailsoftware Outlook, sondern nutzt dazu den MSN-Messenger von Microsoft. Gerade diese Tatsache macht den neuen Wurm zu einer kleinen "Besonderheit".
Wir der Wurm durch den Anwender aktiviert, verschickt sich dieser mit wechselnden Dateinamen selbstständig über das Softwareprogramm "MSN-Messenger". Bekannte Dateinamen wären z.B. "choke.exe" und "ShootPresidentBUSH.exe".
Desweiteren kopiert sich dieser in das Laufwerk "c:\" unter dem Namen "choke.exe" auf das eigene System und legt einen Autoruneintrag in der Registry an:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Choke
W32/Choke gibt zwei Hinweisfenster aus, wenn dieser erstmalig ausgeführt wird:
Im Verzeichnis "c:\" wurde die Datei "about.txt" angelegt, die folgenden Text enthält:
Choke , Copyright ® 1886 ... A MAD
CHRISTIAN
---------------------------------------
Go talk swearwords about God
You all will die, stupid humans.
You fools didn't see what you have done
Bye slut, go talk shit about me.
(Call me a 'psychophatt', but I respect
the Creator of life...)
' Consider your earth '
Weitere Schäden sind bisher noch nicht bekannt.
Quelle: sophos.com
