13 września 2001

I-Worm.Choke - rozprzestrzenia się poprzez program MSN Messenger

Jest to robak internetowy rozprzestrzeniający się przy użyciu programu MSN Messenger. Szkodnik ma postać aplikacji Windows o rozmiarze około 40 KB, napisanej w języku programowania VisualBasic.

Gdy zainfekowany plik zostanie uruchomiony robak umieszcza na dysku C: swoją kopię - C:\CHOKE.EXE i tworzy dla niej klucz auto-run w rejestrze systemowym:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Choke = C:\choke.exe -blahhh

po czym wyświetla dwie fałszywe wiadomości:

Choke
This program needs Flash 6.5 to run!

Run time error
Cannot run program!, Quiting

Ponadto szkodnik tworzy plik C:\ABOUT.TXT i zapisuje do niego poniższy tekst:

Choke , Copyright Ž 1886 ... A MAD CHRISTIAN
---------------------------------------
Go talk swearwords about God
You all will die, stupid humans.
You fools didn't see what you have done
Bye slut, go talk shit about me.
(Call me a 'psychophatt', but I respect the Creator of life...)
' Consider your earth '

Następnie robak uruchamia swoją procedurę rozprzestrzeniającą. Funkcja ta czeka na przychodzącą wiadomość i odpowiada na nią tekstem:

"President bush shooter is game that allows you to shoot Bush balzz" hahaha

i namawia "ofiarę" do pobrania pliku EXE zawierającego kopię szkodnika. Nazwa tego pliku wybierana jest losowo spośród poniższych wariantów:

choke.exe
ShootPresidentBUSH.exe
%nazwa_użytkownika%.exe

gdzie %nazwa_użytkownika% jest nazwą widoczną w sieci MSN.

Jeżeli przychodząca do zainfekowanego komputera wiadomość rozpoczyna się od słowa "hey!" robak składa raport zawierający informacje o ilości swoich kopii wysłanych do innych użytkowników:

PPL: %n
I got %n son of a bitches.
%nazwa_użytkownika%, status = %n
Send to %n ppl
%nazwa_użytkownika% (request sent)
%nazwa_użytkownika% (accepted)

gdzie %nazwa_użytkownika% jest nazwą widoczną w sieci MSN, natomiast %n przyjmuje wartość liczbową.

Robak tworzy plik "dalist.txt" i zapisuje w nim listę zainfekowanych użytkowników (adresy, pod które robak został już wysłany). Robak nigdy nie wysyła swoich kopii pod te same adresy.

Ponadto wirus wysyła pod adresy %losowa_część_adresu%@pager.icq.com wiadomości zawierające tekst:

From: George.W.Bush@whitehouse.gov
Text: Micro$oft invites you to use MSN Messenger!