686682

Sonic

Bezeichnung

W32/Sonic

Typ

Selbstaktualisierender Wurm

Erstes Auftreten

Anfang 2000

Verbreitung

selten

Wirkung/Schaden

Sonic versucht, über das Internet mit einer Seite bei www.geocities.com Kontakt aufzunehmen und von dort die Datei "LASTVERSION.TXT" herunter zu laden. Diese enthält die Versionsnummer der dort verfügbaren Wurm-Version. Ist diese höher als die auf dem betroffenen Computer oder fehlt dort ein Teil des Wurms, lädt Sonic die beiden Dateien "GATEWAY.ZIP" und "xx.ZIP" herunter. "xx" ist die jeweils aktuelle Versionsnummer, derzeit 53. "GATEWAY.ZIP" ist dabei eine aktuelle Fassung des Aktualisierungsmechanismus, "xx.ZIP" ist das Hauptprogramm. Es wird von GDI32.EXE entpackt und enthält verschiedene Dateien, die auf dem Rechner installiert werden. Trotz seiner Erweiterung ist es keine Zip-Datei.

Infektionsweg

Sonic verbreitet sich über Mails mit den Betreffzeilen "I'm your poison" oder "Choose your poison". Die Mails enthalten einen Anhang mit dem Namen "GIRLS.EXE" oder "LOVERS.EXE". Wird diese Datei aufgerufen, speichert sich unter der Bezeichnung "GDI32.EXE" im Verzeichnis Windows/System ab. Die Registry wird um den EintragHKLM\Software\Microsoft\Windows\CurrentVersion\Run\GDI=C:\WINDOWS\SYSTEM\GDI32.EXEerweitert, so dass der Wurm bei jedem Systemstart aktiviert wird. Der Wurm nimmt im weiteren Verlauf Zugriff auf das Outlook-Adressbuch und verschickt sich an die dort gefundenen Mailadressen.

Besonderheiten

Im Code des Wurms findet sich der String "Sonic Youth", der aber nicht dargestellt wird

Was Sie tun können

Aktuelle Virensoftware erkennt und beseitigt den Wurm.

Weitere Infos

McAfee

Sophos

0 Kommentare zu diesem Artikel
686682