| Neue Variante des Wurms W32/Sonic updatet sich selbst
Diese neue Variante des Wurm taucht seit dem 30. Oktober bereits in Kanada, Frankreich und Deutschland auf. Da der Wurm sich selbst über das Internet aktuallisieren kann, hängen seine Funktionsweisen bzw. Schadensroutinen von der jeweiligen Version ab. W32/Sonic verbreitet sich wie dei meissten Würmer per E-Mail in Form von Dateianhängen. Jedoch können die Betreffzeilen und Namen der angehängten Dateien ebenfalls aufgrund der verschiedenen Version völlig abweichen. Betroffen ist in diesem Fall lediglich das Mailprogramm Outlook, worüber der Worm sich an alle gefundenen Mailadressen aus dem Adressbuch selbstständig weiterverschickt. Bisher sind die Betreffzeilen "Choose your poison" und "I'm your poison" bei der Verbreitung bekannt. Die Dateianhänge lauten in diesen genannten Fällen entweder "LOVERS.EXE" oder "GIRLS.EXE".
Ruft der Anwender den Dateianhang (also Wurm) durch Doppelklick auf, installiert sich der Wurm unter dem Namen "GDI32.EXE" in das Windows-System Verzeichnis. Damit der Wurm bei jedem Systemstart ebenfalls ausgeführt wird, legt W32/Sonic folgenden Eintrag in der Registry an: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
GDI=C:\WINDOWS\SYSTEM\GDI32.EXE Der selbstständige Aktualisierungsvorgang seitens des Worms erfolgt, indem eine Datei Namens "LASTVERSION.TXT" eines Geocities Webspace-Accounts aufgerufen wird. Stellt der Worm fest, eine neue Version liegt vor, so lädt dieser die Dateien "GATEWAY.ZIP" und "xx.ZIP" vom entfernten Server auf das lokale System herunter. Die Datei "xx.ZIP" ist das eigentliche Hauptprogramm, welches durch die zuvor installierte "GDI32.EXE" entpackt und installiert wird. "GATEWAY.ZIP" enthält lediglich die neueste Fassung des Aktualisierungsmechanismus. Im übrigen handelt es sich bei beiden Dateien um keine echten ZIP-Dateien, was jedoch die Endung vermuten lassen würde. Die weiteren Schadensroutinen hängen stark von der jeweiligen installierten Version von W32/Sonic ab. In vielen Fällen späht der Worm Nutzerdaten aus oder ermöglicht die Fernsteuerung des befallenden Systemes von aussen. Weitere Schäden wie z.B. Datenverluste etc. sind derzeit nicht bekannt. | 
