Internetwurm namens Sonic kann sich übers Web
selbst updaten
Wurm ist zuerst in
Frankreich und Deutschland aufgetaucht
Berlin (pte, 1. November 00/11:30) - Mehrere namhafte Antivirenhersteller warnen vor einem Internetwurm namens "Sonic", der zuerst in Frankreich und Deutschland aufgetaucht ist. Seine Besonderheit: Er kann sich über das Web selbst updaten.
Sonic besteht aus zwei Teilen. Das Lademodul gelangt als Mail-Anhang "Girls.exe" oder "Lovers.exe" zu den Virus Opfern. Öffnet der Anwender den Anhang, kopiert der Virus sich als "GDI32.exe" in das Windows-Systemverzeichnis. Durch eine Registry-Manipulation wird der Schädlingsteil beim nächsten Start von Windows als Dienst ausgeführt.
Hat Sonic auf diese Weise den PC infiziert, versucht der Wurm das Hauptmodul von einer Geocities-Website http://www.geocities.com nachzuladen. Die dort vorhandene Datei "Lastversion.txt" enthält die aktuelle Versionsnummer des Schädlings. Befindet sich auf dem befallenen Rechner keine oder eine frühere Version, kopiert Sonic die Dateien "nn.zip" ("nn" steht für die Version des Hauptmoduls) sowie "Gateway.zip" auf den Computer des Users.
Die Aufgabe des Hauptmoduls von Sonic besteht im Mitloggen aller Benutzereingaben, so dass Passwörter und andere vertrauliche Daten leichte Beute für den Angreifer sind. Der Internetwurm verbreitet sich über das Windows Adressbuch, indem er an alle dort vorhandenen Adressen Mails mit einem verseuchten Attachment verschickt. Zum Schutz vor Sonic empfiehlt sich ein Update des Virenscanners. Alle bekannten Antivirenhersteller stellen entsprechende neue Signaturdateien zur Verfügung.