Eng
  1. Skip to navigation
  2. Skip to content
  3. Skip to sidebar


Email-Worm:W32/Sober.Q


Aliases:


Email-Worm.Win32.Sober.q

Malware
Email-Worm
W32

Summary

A worm that spreads via e-mail, usually in infected executable e-mail file attachments.



Disinfection & Removal

Automatic Disinfection

Allow F-Secure Anti-Virus to disinfect the relevant files.

For more general information on disinfection, please see Removal Instructions.



Technical Details

Sober.Q was found on May 14th, 2005 and is installed to computers infected by Sober.P. This Sober variant doesn't spread itself in e-mails, but it does mass-mail political statements.

Sober.Q is written in Visual Basic. Its file is a PE executable about 54 kilobytes long, packed with modified UPX file compressor. Sober.Q has its own SMTP engine.


Installation

Once run, Sober.Q drops three new files "services.exe", "csrss.exe" and "smss.exe" into the %WinDir%\Help\Help\ folder, created by the worm. All dropped files are closely related to the original worm's binary. Sober.Q adds startup keys for "services.exe" in System Registry:

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SystemBoot" = "%WinDir%\Help\Help\services.exe"

It also drops several other files in the installation folder:

  • sacri2.ggg
  • sacri3.ggg
  • voner1.von
  • voner2.von
  • voner3.von
  • sysonce.tst
  • fastso.ber

Sober.Q also writes the following message:

[address removed]
[address removed]

Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)
In diesem Sinne

in the file %SysDir%\Spammer.Readme Additionally, Sober.Q drops the following empty files to Windows folder and installation folder:

  • adcmmmmq.hjg
  • seppelmx.smx
  • xcvfpokd.tqa
  • gdfjgthv.cvq
  • langeinf.lin

These files are used to deactivate previous variants of Sober.


Payload

Sober.Q monitors a fixed list of NTP servers to syncronize its time. If the date is 23.5.2005 or later, instead of mass mailing, it tries to download and execute file from one of the following domains:

  • people.freenet.de
  • scifi.pages.at
  • free.pages.at
  • home.pages.at
  • home.arcor.de

The directory part of the URL is a pseudo-random string. It is based on date returned from the NTP servers. The following list of NTP servers is monitored:

  • Rolex.PeachNet.edu
  • clock.psu.edu
  • ntp3.fau.de
  • utcnist.colorado.edu
  • sundial.columbia.edu
  • time-a.timefreq.bldrdoc.gov
  • ntp-sop.inria.fr
  • rolex.usg.edu
  • time.xmission.com
  • ntp.massayonet.com.br
  • ntp-1.ece.cmu.edu
  • time.nist.gov
  • ntp.lth.se
  • cuckoo.nevada.edu
  • ntp-2.ece.cmu.edu
  • time.kfki.hu
  • ntp.pads.ufrj.br
  • time-ext.missouri.edu
  • os.ntp.carnet.hr
  • timelord.uregina.ca
  • ntp2b.mcc.ac.uk

Sober.Q checks for its network connection using 'RasEnumConnections' win32 API call. If not successful, it tries to connect to several domains using TCP port 80. The worm also queries the following list of DNS servers:

  • 165.230.111.195
  • 211.196.153.150
  • 150.203.1.10
  • 216.194.225.70
  • 165.230.99.71
  • 8.10.3.56
  • 128.135.5.5
  • 202.89.131.4
  • 219.127.89.34
  • 129.115.102.150
  • 38.9.211.2
  • 134.94.80.2
  • 130.149.2.12
  • 131.215.254.100
  • 128.194.254.2
  • 4.2.2.3
  • 195.185.185.195
  • 209.68.2.46
  • 129.186.1.200
  • 198.6.1.2
  • 131.243.64.3
  • 24.93.40.33
  • 195.182.96.29
  • 158.43.128.1
  • 61.95.134.168
  • 200.74.214.246
  • 204.117.214.10
  • 194.25.2.129
  • 203.162.0.11
  • 210.66.241.1
  • 217.237.150.225
  • 217.237.151.161
  • 128.9.12 8.127
  • 151.201.0.39
  • 209.253.113.2
  • 213.239.234.108
  • 62.156.146.242
  • 207.69.188.186
  • 207.217.120.43
  • 129.187.10.25
  • 200.52.83.103
  • 129.187.16.1
  • 141.40.10.35
  • 213.218.170.6
  • 212.242.88.2
  • 193.158.124.143

One of the following domains are queried from the DNS servers:

  • microsoft.com
  • bigfoot.com
  • yahoo.com
  • t-online.de
  • google.com
  • hotmail.com

If the worm cannot connect to network, it might display a message box saying "Memory Read in Winsock Module {0x0000001F} failed. Restart your Computer to fix this problem".


Process Termination

Sober.Q tries to terminate all processes with the following strings in the name:

  • microsoftanti
  • gcas
  • gcip
  • giantanti
  • inetupd.
  • nod32kui
  • nod32.
  • fxsob
  • s-t-i-n-g
  • hijack
  • sober

Security settings manipulation

Sober.Q tries to disable Windows built-in firewall by writing the following registry entry:

  • [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = "0"

It also tries to disable Windows updating with the following registry entry:

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions" = "0"

Deactivation of Sober.Q

Sober.Q looks for a file named 'bbvmwxxf.hml'. If this file is present in Windows System folder, Sober.Q does not install itself to a system.


Propagation (E-mail)

If the date is between 15.5.2005 and 22.5.2005, Sober.Q starts the mass mailing routine. The date is checked from NTP servers. It scans files with certain extensions on all hard disks to harvest e-mail addresses. Files with the following extensions are scanned:

  • pmr
  • phtm
  • stm
  • slk
  • inbox
  • imb
  • csv
  • bak
  • imh
  • xhtml
  • imm
  • imh
  • cms
  • nws
  • vcf
  • ctl
  • dhtm
  • cgi
  • pp
  • ppt
  • msg
  • jsp
  • oft
  • vbs
  • uin
  • ldb
  • abc
  • pst
  • cfg
  • mdw
  • mbx
  • mdx
  • mda
  • adp
  • nab
  • fdb
  • vap
  • dsp
  • ade
  • sln
  • dsw
  • mde
  • frm
  • bas
  • adr
  • cls
  • ini
  • ldif
  • log
  • mdb
  • xml
  • wsh
  • tbb
  • abx
  • abd
  • adb
  • pl
  • rtf
  • mmf
  • doc
  • ods
  • nch
  • xls
  • nsf
  • txt
  • wab
  • eml
  • hlp
  • mht
  • nfo
  • php
  • asp
  • shtml
  • dbx

Sober.Q ignores e-mail addresses that contain any of the following substrings:

  • ntp-
  • ntp@
  • ntp.
  • test@
  • @www
  • @from.
  • smtp-
  • @smtp.
  • gold-certs
  • ftp.
  • .dial.
  • .ppp.
  • anyone
  • subscribe
  • announce
  • @gmetref
  • sql.
  • someone
  • nothing
  • you@
  • user@
  • reciver@
  • somebody
  • secure
  • whatever@
  • whoever@
  • anywhere
  • yourname
  • mustermann@
  • .kundenserver.
  • mailer-daemon
  • variabel
  • noreply
  • -dav
  • law2
  • .sul.t-
  • .qmail@
  • t-ipconnect
  • t-dialin
  • ipt.aol
  • time
  • freeav
  • @ca.
  • abuse
  • winrar
  • domain.
  • host.
  • viren
  • bitdefender
  • spybot
  • detection
  • ewido.
  • emsisoft
  • linux
  • google
  • @foo.
  • winzip
  • @example.
  • bellcore.
  • @arin
  • mozilla
  • iana@
  • iana-
  • @iana
  • @avp
  • icrosoft.
  • @sophos
  • @panda
  • @kaspers
  • free-av
  • antivir
  • virus
  • verizon.
  • @ikarus.
  • @nai.
  • @messagelab
  • nlpmail01.
  • clock

If Sober.Q sends messages to domains with suffixes '.de', '.ch', '.at', '.li' or to 'gmx.' domain, it composes messages in German, otherwise English messages are composed. The messages contain right-wing related propaganda. Possible german messages are:

Subject: 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
 
Body text: [address removed]

 Neue Dokumente:[address removed]
Botschafter in Kiew beschwerte sich noch 2004:[address removed]
Traumziel Deutschland:Ohne Deutsch nach Deutschland:[address removed]
[address removed]
Kanzler erleichtert Visaverfahren fr Golfstaaten:[address removed]
Vorbildliche Aktion:[address removed]
 

---- or ----

Subject: Auf Streife durch den Berliner Wedding
Body text: [address removed]
[address removed]
 

---- or ----

 Subject: Auslaender bevorzugt
Body text: [address removed]
Jetzt weiss man auch, wie es dazu kommt, dass Drogen, Waffen & Handy's in die Haendeder Knacki's gelangen! 

---- or ----

 Subject: Deutsche Buerger trauen sich nicht ...
Body text: Auslaenderbanden terrorisieren Wahlkampf - deutsche Buerger trauen sich nicht ihreMeinung zu sagen!Weiter auf:[address removed]
Auslaender ueberfallen nationale Aktivisten:[address removed]
[address removed]

---- or ----

 Subject: Auslaenderpolitik
Body text: [address removed]

---- or ----

 Subject: Blutige Selbstjustiz
Body text: [address removed]
Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans sind kaum noch zudurchdringen. Die Gerichte tragen Mitschuld.Weiter auf:[address removed]

---- or ----

 Subject: Deutsche werden kuenftig beim Arzt abgezockt
Body text: [address removed]
EU-Abgeordnete goennen sich luxurioese Vollversorgung:[address removed]
Deutsche Krankenversicherungen muessen fuer Harems-Frauen zahlen:[address removed]
Kassenfunktionaere vervierfachten Gehalt:[address removed]
 

---- or ----

 Subject: Paranoider Deutschenmoerder kommt in Psychia trie
Body text: [address removed]

---- or ----

 Subject: Du wirst zum Sklaven gemacht!!!
Body text: [address removed]
Immer mehr Frauen prostituieren sich:[address removed]
STAATSPROPAGANDA:[address removed]

---- or ----

 Subject: Dresden 1945
Body text: [address removed]
 

---- or ----

 Subject: Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
Body text: [address removed]

---- or ----

Subject: Gegen das Vergessen
Body text: In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhrheulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohnerder Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden alsStadt ohne Bewaffnungund ohne militaerischen Nutzen bekannt war und von ca.1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde.Gegen 22:09 Uhr gab der Rundfunk durch, dadie alliierten Bomberverbaende ihrenKurs geaendert haben und nun auf Dresden zufliegen. Kurz darauf befanden sich244 britische Bomber am Himmel der deutschen Kulturstadt. Drei Stunden nachdieser ersten Angriffswelle - es befanden sich bereits alleverfuegbarenRettungsmannschaften, Sanitaeter und Feuerwehmaenner in Dresden -verdunkelten weitere 500 Bomber den Himmel.Am naechsten Tag folgte die letzte Angriffswelle mit erneut 300 US-B-17-Bombern.Zwischen 12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab. - Dasentspricht mehr als 85 Tonnen pro Minute. Nach dem Abwerfen setzten dieUS-Bomber zum Tiefflug an und beschossen Fluechtende mit ihren Bordwaffen.In diesen drei Angriffsschlaegen, die insgesamt 14 Stunden andauerten, warfen dieBefreier 650.000 Brandbomben und 200.000 Sprengbomben ab, welche einenFeuersturm von ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden wederFlugabwehr, noch Ruestungsindustrie oder aehnliche kriegswichtige Ziele besasswurden weit mehr als 350.000 unschuldige deutsche Zivilisten in diesen zweiTagen kaltbluetig ermordet.Keiner der schuldigen Alliierten wurde jemals fuer dieses brutaleKriegsverbrechen auchnur angeklagt und die Massenmedien und die bundesdeutscheRegierung schweigen diese Taten tot und sehen es nicht als noetig an denOpfern zu gedenken.! 

---- or ----

 Subject: Tuerkei in die EU
Body text: GEWALTEXZESS:[address removed]
Politiker zerrei t Menschenrechtsbericht:[address removed]
Schily = Hitler[address removed]
Schily wehrt sich gegen Hitler-Vergleiche:[address removed]
Sie hat ja wie eine Deutsche gelebt:[address removed]
[address removed]
Parallelgesellschaften - Feind hoerte mit:[address removed]
Sie war unerlaubt spazieren:[address removed]
Tiere an Autobahn geschlachtet:[address removed]

---- or ----

Subject: Hier sind wir Lehrer die einzigen Auslaender
Body text: [address removed]
[address removed]
 

---- or ----

 Subject: Multi-Kulturell = Multi-Kriminell
Body text: [address removed]
 

---- or ----

 Subject: Verbrechen der deutschen Frau
Body text: [address removed]
 

---- or ----

 Subject: S.O.S. Kiez! Polizei schlaegt Alarm
Body text: [address removed]
 

---- or ----

 Subject: Transparenz ist das Mindeste
Body text: [address removed]
 

---- or ----

Subject: Trotz Stellenabbau
Body text: [address removed]
 

---- or ----

 Subject: Vorbildliche Aktion
Body text: [address removed]
 

---- or ----

 Subject: Augen auf
Body text: [address removed]
 

---- or ----

 Subject: Du wirst ausspioniert ....!
Body text: und weisst es nicht einmal:[address removed]
 

---- or ----

 Subject: Volk wird nur zum zahlen gebraucht!
Body text: [address removed]
... damit Sie nicht als der erste Kanzler in die deutsche Geschichte eingehen,der Untertanen verboten hat, aus ihren Fenstern auf die Strasse zu gucken -selbst Nazis und Stalinisten haben niemals eine aehnliche Anordnung treffen lassen!

---- or ----

Subject: 60 Jahre Befreiung: Wer feiert mit?
Body text: [address removed]
 

---- or ----

 Subject: Graeberschaendung auf bundesdeutsche Anordnung
Body text: [address removed]
 

---- or ----

 Subject: Schily ueber Deutschland
Body text: [address removed]
 

---- or ----

 Following are the possible english messages:  Subject: The Whore Lived Like a German
Body text: Full Article:[address removed]
 

---- or ----

 Subject: Turkish Tabloid Enrages Germany with Nazi Comparisons
Body text: Full Article:[address removed]
 

---- or ----

 Subject: Dresden Bombing Is To Be Regretted Enormously
Body text: Full Article:[address removed]
 

---- or ----

 Subject: Armenian Genocide Plagues Ankara 90 Years On
Body text: Full Article:[address removed]
 


Detection

Sober.Q is detected with the following FSAV update:
Database: 2005-05-14_01





Submit a sample




Wondering if a file or URL is malicious? Submit a sample to our Lab for analysis via the Sample Analysis System (SAS)

Give And Get Advice




Give advice. Get advice. Share the knowledge on our free discussion forum.