Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Trojan.Sonic


alias: I_Worm_Sonic, I-Worm.Sonic, Sonic.b

Trojan.Sonic wurde in Deutschland entdeckt und hat sich bereits bis nach Österreich vorgearbeitet.
Der große Durchbruch wird ihm jedoch verwehrt bleiben, da sich das Virus nicht via MAPI automatisch
über Mail-Programme verbreiten kann, sondern dies nur dann möglich ist, wenn das Virus direkt von
einem Anwender als Attachment eines eMails verschickt wird. Der Sonic Worm ist ein Mehrkomponenten-Infektor,
also ein Virenprogramm, das sich, sobald es sich erfolgreich infizieren konnte, beliebig weitere
Komponenten aus dem Web "nachladen" und somit fast uneingeschränkte Funktionen "updaten" kann.
Im speziellen Fall findet die "Erst-Infektion" mit dem Loader statt, also dem Programmteil, der
dann das eigentlich Virus aus dem Internet nachlädt. Dem Sonic Wurm ist dabei völlig gleichgültig ob
es sich um eine Win9x/ME oder WinNT/2000 Maschine handelt.
In bewährter Manier verbreitet sich das Virus als eMail mit einem verseuchten Attachment.

Subject: "I'm your poison"
ohne Mailtext, dafür mit unterschiedlichen Attachments:
Attachment: "GIRLS.EXE" oder "LOVERS.EXE"

Wird das Attachment nämlich gestartet, kopiert es sich sofort als "GDI32.EXE" ins Windows\System
Verzeichnis. Genial ist daran, daß diese Datei als versteckter Prozeß im Windows-Startup läuft.
Sichtbar wird das Virus lediglich in der Taskliste, wo es als eigener Task namens"Sonic" läuft und
weiters daran, daß im besagten Windows-Verzeichnis neben der GDI.EXE Datei und der GDI32.DLL auch
die Virusloader Datei mit dem Namen GDI32.EXE zu finden ist.
Beim nächsten Start aktiviert sich auch das Virus mit dem obligatem Registry-Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ GDI=C:\WINDOWS\SYSTEM\GDI32.EXE

und versucht via Internet von einer Seite (www.geocities.com) mehrere Dateien downzuladen. Es sind
dies zum einen, eine normale Text Datei mit dem Namen "LASTVERSION.TXT" und dem einfachen Inhalt
"Accept */*" und einer Programmdatei. Die Programmdatei mit dem Namen 53.ZIP ist verschlüsselt und
gibt vor eine Zip-Datei zu sein - was jedoch nicht der Fall ist! Diese Datei wird von der bereits
vorhandenen ursprünglichen Virusdatei GDI32.EXE dekodiert und aufs lokale System kopiert.

Wir empfehlen mit Nachdruck keine Attachments mit den o.g. Namen zu starten, die noch dazu, mit den
o.g. Subjects und Texten im eMail an Sie gesandt wurden. Stehen Sie JEDEM ausführbaren Dateianhang
kritisch gegenüber! Löschen Sie Attachments im Zeifelsfall. Starten Sie keine Attachments ohne
diese vorher auf Viren geprüft zu haben. Verwenden Sie den von MS zur Verfügung gestellten
Sicherheitspatch um Ihr eMail Sicherheit zu verbessern: http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.htm
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables mit den o.g.
Namen enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.








Linktipps: Ferienhaus Ostsee