Eine neue Variante des Sonic-Wurms treibt sein Unwesen. Der Wurm, der sich selbst über das Internet aktualisiert, kann je nach Version Daten ausspähen oder Ihren Rechner fernsteuern. Infiziert werden Win9x/ME oder WinNT/2000 Maschinen. Das Virus wurde in Deutschland entdeckt und hat sich, laut Ikarus Software , bereits bis nach Österreich vorgearbeitet. Der Sonic Worm kann sobald er sich erfolgreich infizieren konnte, beliebig weitere Komponenten aus dem Web "nachladen" und somit fast uneingeschränkte Funktionen "updaten" kann. Im speziellen Fall findet die "Erst-Infektion" mit dem Loader statt, also dem Programmteil, der dann das eigentlich Virus aus dem Internet nachlädt. Das Virus verbreitet sich als eMail mit einem verseuchten Attachment. Subject: "I'm your poison" ohne Mailtext, dafür mit unterschiedlichen Attachments: Attachment: "GIRLS.EXE" oder "LOVERS.EXE" Wird das Attachment gestartet, kopiert es sich sofort als "GDI32.EXE" ins Windows\System Verzeichnis. Dieses wird um den Eintrag HKLM\Software \ Microsoft \ Windows \ CurrentVersion \ Run \ GDI=C:\WINDOWS \ SYSTEM \ GDI32.EXE erweitert, so dass der Wurm bei jedem Systemstart aktiviert wird. Sonic versucht dann, mit einer Seite bei www.geocities.com Kontakt aufzunehmen und von dort die Datei "LASTVERSION.TXT" herunter zu laden. Die Programmdatei mit dem Namen 53.ZIP ist verschlüsselt und gibt vor eine Zip-Datei zu sein - was jedoch nicht der Fall ist! Diese Datei wird von der bereits vorhandenen ursprünglichen Virusdatei GDI32.EXE dekodiert und aufs lokale System kopiert. (red/ikarus/PC-Welt)