fz-Home




Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Java / JS
Microsoft
Win 32
Win 3.1x
macOS
Unix
Amiga
OS/2, Atari, NeXT,...

 

nach oben
  

© Frank Ziemann  –  Update: 02.09.2009

Extra-Blatt

Wurm: W32/Sonic (I-Worm.Sonic)

Wurm mit eingebauter Update-Funktion

Sonic ist ein Wurm mit mehreren Funktionen. Neben der Verbreitung seiner selbst per E-Mail hat er die Fähigkeit, sich über das Internet zu aktualisieren. Ferner enthält er eine Komponente, die einen begrenzten Zugriff auf den Rechner über das Internet erlaubt (Backdoor).

W32/Sonic kommt in E-Mail mit dem Betreff (Subject, Title) "Choose your poison" und das Attachment hat den Dateinamen GIRLS.EXE (Sonic.a) bzw. LOVERS.EXE (Sonic.b) und ist etwa 25 KB gross. Wird diese Datei ausgeführt, installiert sich W32/Sonic im Windows\System-Verzeichnis als GDI32.EXE und trägt diese Datei in die Registry ein, damit sie bei jedem Windows-Start geladen wird:

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
  z.B.: GDI = C:\Windows\System\GDI32.EXE

Um den Anwender zu täuschen, wird dabei eine Fehlermeldung angezeigt:
Sonic.b fake message
Dies bedeutet soviel wie: "LOVERS.EXE ist keine gültige Win32-Anwendung".Tatsächlich wird das Programm jedoch normal ausgeführt. Es ist in der Task-Liste als Prozess "Sonic" sichtbar.

Gelingt es W32/Sonic, sich über das Internet zu aktualisieren, legt er eine weitere Datei, GDI32A.EXE, im Windows\System-Verzeichnis ab. Sie ist etwa 40 KB gross und wird wie oben in die Registry eingetragen.

W32/Sonic entfernen
Um W32/Sonic wieder zu entfernen, scannen Sie den Rechner mit einem Antivirus-Programm, das Sonic erkennt. Für die meisten Antivirus-Programme dürften im Laufe der Kw. 44 Updates verfügbar sein. AVP erkennt auch die Version Sonic.b bereits mit Updates aus Kw. 43, McAfee VirusScan benötigt DAT-4102 (01.11.2000); für andere Programme sind z.T. bereits spezielle Updates erhältlich. [Antivirus-Programme]
Entfernen Sie zunächst die Registry-Einträge mit RegEdit. Löschen Sie nun die als infiziert gemeldeten Dateien, nachdem Sie den Rechner mit reinem DOS gestartet haben.
Achtung: Löschen Sie nicht GDI32.DLL und GDI.EXE, das sind System-Dateien!

Infos und Updates von Antivirus-Firmen zu W32/Sonic:

nach oben | zurück zur Hoax-Seite | zurück zur Virusinfo Übersicht | zurück zur Antivirus-Seite
[   Home | Suchen | Antivirus | Hoax | Weblog   ]