Internetwurm mit automatischem Update

Mehrere namhafte Antivirenhersteller warnen vor dem Internetwurm "Sonic", der zuerst in Frankreich und Deutschland aufgetaucht ist. Seine Besonderheit: Er kann sich über das Web selbst updaten.

Sonic besteht aus zwei Teilen. Das Lademodul gelangt als Mail-Anhang "Girls.exe" oder "Lovers.exe" zu den potenziellen Opfern. Führt der Anwender den Anhang aus, kopiert dieser sich als "GDI32.exe" in das Windows-Systemverzeichnis. Dort fällt das File zwischen den tatsächlichen Betriebssystemkomponenten GDI.exe and GDI32.dll nicht groß auf. Durch eine Registry-Manipulation wird der Schädlingsteil beim nächsten Start von Windows als Dienst ausgeführt.

Hat Sonic auf diese Weise den PC infiziert, versucht der Wurm das Hauptmodul von einer Geocities-Website nachzuladen. Die dort vorhandene Datei "Lastversion.txt" enthält die aktuelle Versionsnummer des Schädlings. Befindet sich auf dem befallenen Rechner keine oder eine frühere Version, kopiert Sonic die Dateien "nn.zip" ("nn" steht für die Version des Hauptmoduls) sowie "Gateway.zip" auf den Computer des Users.

Die Aufgabe des Hauptmoduls von Sonic besteht im Mitloggen aller Benutzereingaben, sodass Passwörter und andere vertrauliche Daten leichte Beute für den Angreifer sind.

Der Internetwurm verbreitet sich über das Windows Adressbuch, indem er an alle dort vorhandenen Adressen Mails mit einem verseuchten Attachment verschickt.

Zum Schutz vor Sonic empfiehlt sich ein Update des Virenscanners. Alle bekannten Antivirenhersteller stellen entsprechende neue Signaturdateien zur Verfügung. (tri)