F-Secure Virus Descriptions : Sober.C

 Runtime Error

 <file_name> has caused an unknown error.

where <file_name> is the name of the worm's file. The messagebox can have a different caption and an additional text:

 Microsoft

 <file_name> has caused an unknown error.
 Stop: 00000010x08

The worm copies itself to Windows System folder 3 times, once with SYSHOSTX.EXE name, and 2 more times with semi-randomly generated names, for example DIREXSYS.EXE or DXINBHEXDAT.EXE. The worm uses the following fixed text strings to generate the name of its files:

 win
 svc
 task
 sys
 dll
 host
 end
 dir
 ms
 run
 ex
 log
 on
 reg
 ie
 32
 16
 64
 disk
 api
 app
 con
 mon
 drv
 crypt
 dat
 dx
 diag
 str
 xp
 hex

The worm also creates a file named SAVESYSS.DLL, where it stores e-mail addresses harvested from an infected computer. The worm also creates 2 files named HUMGLY.LKUR and YFJQ.YQWM in the same folder.

The worm creates several startup Registry keys for one of its semi-randomly named files in System Registry:

 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

The worm also creates a startup key for its file in HKEY_USERS Registry tree:

 [HKEY_USERS\<userID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

The subkey name that is created by the worm is semi-randomly generated. The value of a subkey is the path to one of the worm's files in Windows System folder.

The worm always has 2 of its tasks in System Memory. If one task is killed, it is immediately restarted by another one. Also the worm refreshes its startup keys in the Registry every few seconds. This makes manual disinfection of the worm more difficult. Is should be also noted that the worm blocks read access to its 2 semi-randomly named files and to SAVESYSS.DLL file as well.

Spreading in e-mails.

The worm scans files with certain extensions to harvest e-mail addresses. Files with the following extensions are scanned:

 htt
 rtf
 doc
 xls
 ini
 mdb
 txt
 htm
 html
 wab
 pst
 fdb
 cfg
 ldb
 eml
 abc
 ldif
 nab
 adp
 mdw
 mda
 mde
 ade
 sln
 dsw
 dsp
 vap
 php
 nsf
 asp
 shtml
 shtm
 dbx
 hlp
 mht
 nfo

The worm saves all found e-mail addresses to SAVESYSS.DLL file located in Windows System folder. This is an ASCII file, not binary.

The worm sends e-mail messages with German and English texts. When sending a message to an e-mail address, that has domain suffix DE, CH, AT, LI, NL or BE, the worm uses German text strings, otherwise it composes a message in English.

When sending messages in English, the worm can use the following subjects:

 ups, i've got your mail
 Sorry, that's your mail
 hi, its me
 Thank You very very much
 you are an idiot
 why me?
 I hate you
 Preliminary investigation were started
 Your IP was logged
 You use illegal File Sharing ...
 A Trojan horse is on your PC
 a trojan is on your computer!
 Anime, Pokemon, Manga, ...

The worm uses the following arrays of text strings for English message bodies:

 i'm very very sorry, anybody have sent your mail to my address.
 I've got your mail, but its came on my mail address???
 i've read this mail ,,, sorry about that

 excuse for my bad english, but I'm a Dutchman
 sorry for my bad english, I am a Swede!

 I don't know how to start this!
 I'm dull,, can you test!?
 cya

 Here, the DigiCam photos. A few are overexposed.
 cu

 That you've killed this bastard.
 Your reward:

 That you have paid for me!
 And that's your
 list
 card
 picture
 , too!

 Caution: To all gamers
 A new worm spread via online gaming!
 You must change your internet configuration!!
 see:

 Attention: To all gamers
 More than 75.000 freeware games!!!
 Genre:
 -> 8500 online games = 3D Shooter, RPG, Action, Adventure, ...
 non online games:
 -> Action = 4200 games
 -> 3D Shooter's  = 7500 games
 -> RPG's  = 6800 games
 -> Adventure's = 5400 games
 -> ROM's for NES, SNES, PS1&2, GC ,GB, MD, SMS, .. = 29.000 ROM's
 -  others = 16900 games
 all free!!
 Download and enjoy

 why do you do that?

 You say in the www. that i'm a terrorist!!!
 No way out for you. I REPORT YOU !
 You've said THAT about me

 Registration confirmation
 registration confirmation
 Thanks for your registration.
 ( We say Sorry again, the first mail was delivered to an unknown mail address.
 This was a bug in our mailing system! )
 The amount of 239.- USD was deducted by your

 Welcome,
 you can now visit more than 1200 very very hot web pages!
 Your registration, pages and passwords are
 transferred
 in the attachment.

 I said, I love you..,, and you said   NOTHING
 And now,,, Go Away From Me
 Here are my love-letter((s)) mock me mock me  again and again .
 Enjoy it. blablabla GO!

 Ladies and Gentlemen,
 Downloading of Movies, MP3s and Software is illegal and punishable by law.
 We hereby inform you that your computer was scanned under the IP

 The contents of your computer were confiscated as an evidence, and you will be indicated.
 In the next days, you'll get the charge in writing.
 You get the charge in writing, in the next days.
 In the next days you will receive the charge in writing.
 In the Reference code: #
 are all files, that we found on your computer.
 The sender address of this mail was masked,
 to protect us against mail bombs.
 to fend off mail bombs.
 - You get more detailed information by the Federal Bureau of Investigation -FBI-
 - Department for
 Illegal Internet Downloads
 , Room 7350
 - 935 Pennsylvania Avenue
 - Washington, DC 20535, USA
 - (202) 324-3000

 hi
 hello
 , I am from
 Belgium
 Denmark
 Norway
 Switzerland
 Austria
 Spain
 and you'll don't believe me,
 but a trojan horse in on your
 computer.
 I've scanned the network-ports on the internet. (I know, that's illegal)
 And I have found your pc. Your pc is open on the internet for everybody!
 Because the
 .exe trojan is running on your system.
 Check this, open the task manager and try to stop that!
 You'll see, you can't stop this trojan.
 When you use win98/me you can't see the trojan!!
 On my system was this trojan, too!
 And I've found a tool to kill that bad thing.
 I hope that I've helped you!
 Sorry for my bad english!
 greets

 NEW!
 More than 84.000 entries on our page:
 All about:
 Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, and and and
 Games, Video's, Pic's, Cards, MP3s, Screen-saver, and and and
 and many many more!
 And NO DIALERS
 only banner advertisers!!!
 have fun

In English messages the worm can send itself as an attachment with the following names:

 yourmail.txt.<ext>
 yourmail.doc.<ext>
 photos.<ext>
 test.<ext>
 reward.<ext>
 youtoo.<ext>
 set_config.<ext>
 downloader.exe
 www.freegames4you-gzone.com
 www.onlinegamerspro-worm.com
 idiot.<ext>
 painfulness.<ext>
 terror-list.<ext>
 www.boards4all-terror432.com
 account.<ext>
 credit card.<ext>
 yourregistration.txt.<ext>
 letters.<ext>
 refcode.txt.<ext>
 mangaconection.<ext>
 www.animepage43252.com
 www.anime4allfree.com

The worm can compose attachment names from the following parts:

 -patch
 remove-
 _tool
 services
 smss
 lsass

For example an attachment name can be REMOVE-SMSS_TOOL.EXE.

The worm can use the following extensions (referenced above as <ext>) for the only or second extension of its attachment:

 bat
 cmd
 pif
 scr
 exe
 com

When sending messages in German, the worm can use the following subjects:

 Betr: Klassentreffen
 Testen Sie ihren IQ
 Bankverbindungs- Daten
 Neuer Dialer Patch!
 Ermittlungsverfahren wurde eingeleitet
 Ihre IP wurde geloggt
 Sie sind ein Raubkopierer
 Sie tauschen illegal Dateien aus
 Ich hasse dich
 Ich zeige sie an!
 Sie Drohen mir!!
 Anime, Pokemon, Manga, Handy ...
 Anmeldebestatigung
 Neu! Legales Filesharing
 Umfrage: Rente erst mit 80!
 du wirst ausspioniert
 Ein Trojaner ist auf Ihrem Rechner!
 Du hast einen Trojaner drauf!

The worm uses the following arrays of text strings for German message bodies:

 Hi, Ich bin's
 Hallo, ich hoffe das ich jetzt mal
 die richtige
 den richtigen
 erwischt habe.
 Nach einigen Pleiten, Pech und Pannen habe ich jetzt einfach
 das damalige Klassenfoto mitgeschickt.
 Wenn du dich dort erkennst, melde dich, falls du es wieder einmal nicht bist,
 dann entschuldigen Sie bitte diese Storung.
 Danke!

 Guten Tag,
 Ich bin wahrscheinlich zu
 sind Sie auch der Meinung das Sie intelligenter sind,
 als manch einer aus Ihren Umfeld glaubt!?
 Dann beweisen Sie es. Auf unserer Homepage konnen sie es herausfinden.
 Das sind naturlich Staatlich anerkannte psychologische Tests.
 P.S.
 Auf unsere Seite befinden sich keine Dialer oder Pop-up's, nur 2 Werbebanner.
 Bei uns geht es noch ehrlich zu!!!

 Sehr geehrte
 Frau Meiers,
 r Herr Westpfahl,
 r Herr Salmanz,
 Frau Bieders,
 Wir mochten uns noch einmal fur unsere falsche
 E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
 einige Fehler beim versenden auf.
 Ihre Pass- und Geheimworter wurden selbstverstandlich kostenlos geandert.
 Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
 In falschen Handen , hatte jede andere Person freie Einsicht
 bzw. Verfugung uber Ihr Konto!
 Mit freundlichen Grussen:
 i.a: Regina Ruthers
 +++ Bamberger Bank eG Raiffeisen-Volksbank
 +++ Luitpoldstr. 19, 96052 Bamberg
 +++ Telefon: 0951/8620  Kunden- Fax: 0951/862120

 Seit einiger Zeit kursieren wieder gefahrlich neue Dialer und Wurmer durchs Netz.
 Bei uns konnen sie kostenlos via Online Scan testen, ob Ihr System infiziert ist.
 Weiterhin stellen wir zahllose Freeware Antiviren-Scanner zur Verfugung.
 Naturlich sind auch alle aktuellen Patches von Microsoft & CO vorhanden.
 Besuchen Sie uns doch einfach mal auf unserer Homepage.
 Auf Wiedersehen

 Sie mussen unbedingt einen neuen Patch installieren, um diese Maleware
 abzuwehren.
 Die von uns gesammelten Daten unter dem Aktenzeichen #
 Diese Schadlinge kommen nicht per Mail, sie benutzen einen Bug
 im Windows Netzwerk!
 Benutzen sie den Patch um sich und andere nicht zu gefahrden.

 Sehr geehrte Damen und Herren,
 das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
 Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
 der IP
 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
 sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
 Die Strafanzeige und die Moglichkeit zur Stellungnahme wird Ihnen in den nachsten
 Tagen schriftlich zugestellt.
 sind fur Sie und ggf. Ihrem Anwalt beigefugt und einsehbar.
 Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
 gemacht haben, wurde die Herkunft dieser Mail verschleiert.
 Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf,
 Europa Sonderkommission
 Internet Downloads
 Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
 Ihre Drohgebarden konnen sie woanders loswerden,
 Rufnummer au?erhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868
 Hochachtungsvoll
 i.A. PK Mollbach

 Wenn Du meinst mich beleidigen zu mussen, nur weil ich Dir
 ein paar Liebes- Mails geschrieben habe, dann tut es mir Leid.
 Hier haste deine bloden zynischen Antworten wieder!
 Auf nimmer Wiedersehen .....

 Wenn Sie meinen mir DROHEN zu konnen, haben sie sich in den Finger geschnitten!!!
 Erstens mal, wei? ich gar nicht wer Sie sind.
 Zweitens, kenne ich
 Ihre Frau oder Freundin
 Ihren Mann oder Freund
 nicht.
 Und Drittens, Ich habe kein Tachtel-Machtel mit Ihrem Partner!!!
 Ihre Droh Mails habe ich gerade an die Behorden weitergeleitet.
 aber nicht bei mir!
 Sie horen noch von mir!

 Deutschland Sucht Den  ...
 RTL: DSDS
 Deutschland Sucht Den Superstar (DSDS) auf RTL.
 Hallo, Du wurdest zufallig von ca. 85.000 E-Mail Adressen
 ausgewohlt, um bei RTL DSDS in der Zuschauer Jury mit zu Voten.
 Das ganze hat auch noch ein SUPER Vorteil, Du bekommst zusatzlich noch
 einen V.I.P Ausweis, mit dem du hinter den Kulissen bei den
 Stars mit dabei sein darfst.
 Es werden insgesamt 100 Personen fur die Zuschauer Jury gesucht
 und 200 Personen haben wir per Mail angeschrieben.
 Also, Deine Chancen stehen ziemlich gut mit dabei zu sein.
 Du musst mindestens 12 Jahre alt sein, um mitmachen zu durfen.
 Einfach das Anmeldformular ausfullen und auf Antwort warten.
 Viel Gluck!
 ++ RTL Geschaftsfuhrung: Dr. Constantin Lange
 ++ Director Content / Chefredakteur Neue Medien: Patrick Zeilhofer
 ++ Am Coloneum 1, 50829 Koln
 ++ Fon: +49 (0) 180 5 44 66 99, Fax: +49 (0) 180 5 44 77 77 (0,12 EURO / Minute)

 Guten Tag,
 da immer mehr unseriose Internet Seiten mit gefahrlichen Dialern entstehen,
 haben wir uns gedacht, es geht auch Ohne Dialer!
 Bei uns haben sie die Auswahl zwischen 87.000 verschiedenen Produkten.
 Unter den Artikeln sind:
 Handy Klingeltone
 Handy Spiele ( uber 400 Stuck! )
 Alles uber Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, und und und
 und noch vieles vieles mehr ...
 Wir wurden uns Freuen, wenn Sie unsere DIALER FREIE Webseite besuchen.

 Sehr geehrter Kunde,
 Vielen Dank fur Ihre Anmeldung auf unserem Server.
 Der Betrag von Euro 279,- wurde erfolgreich von Ihrem Konto abgebucht.
 Ihnen stehen nun 1 Jahr lang mehr als 2300 sehr sehr hei?
 Internet Seiten zur Verfugung.
 Wir bedauern, das es im Vorfeld so lange gedauert hat,
 unser Mail Dienst hatte diese Daten auf einen anderen E-Mail Empfanger geschickt.
 Da nun dieser Fehler behoben zu sein scheint, wunschen wir Ihnen
 viel Spass mit unserem Angebot!
 Die Seiten die Sie nun aufrufen konnen und die Zugangsdaten
 befinden sich gesichert im Anhang.

 Sitzt Ihnen immer die Angst im Nacken, wenn Sie sich MP3's herunterladen?
 Wenn ja, dann benutzen sie unsere neue Filesharing Software!
 Bei uns ist das Filesharing erlaubt, weil wir mit Werbebanner unser
 Geld verdienen. (KEINE DIALER!!)
 Von das Erwirtschaftete Geld, entrichten wir eine feste Summe an die Musik Industrie!
 Dadurch haben wir die Erlaubnis, MP3's zum tausch anbieten zu konnen.
 Fur Sie aber, ist alles Kostenlos und die MP3's sind nicht
 gekurzt oder zerstort. (Alles Originale)
 Wir wurden uns freuen, wenn Sie unser Programm einmal ausprobieren wurden.
 Es nehmen bereits mehr als 500.000 registrierte Benutzer unseren Dienst
 in Anspruch.
 Hans Tiusanen
 - Sound Nord OHG Hans Tiusanen & Andreas Burgmann
 - 25421 Pinneberg, Hindenburgdamm 77
 - Telefon: 01401/27207

 Sie Lesen richtig!!
 Das sind die neuen, noch Geheimen Plane unserer super tollen Helden Politiker.
 Lesen sie dazu mehr auf unserer Seite und Stimmen Sie ab,
 ob man so einen Irrsinn unterstutzen soll oder nicht.

 Juten Tach,
 habe mal einen internet port scan gemacht. dabei konnte
 ich deinen rechner sehen und einsteigen.
 deine mail adresse hab ich auch auf deinem pc gefunden.
 bei dir ist der trojaner
 .exe am wuten. deshalb kann
 jeder auf deinen rechner zugreifen!
 du kannst ja mal den taskmanager offnen, und versuchen ihn zu beenden.
 du wirst aber feststellen, das er sich nicht beenden lasst.
 solltest du windows98/me haben, siehst du ihn erst gar nicht im task!
 dieses hartnackige miststuck hatte ich auch mal drauf, 3 tage
 hat es gedauert, bis ich endlich ein programm zum entfernen
 gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
 meld dich einfach.

 Ich bin wahrscheinlich zu
 domlich
 , Ich kriegs nicht gebacken.
 Kannst du das mal testen!
 Ich ruf dich spater mal an.

 Hier die Digi-Cam Bilder. Manche sind nix geworden!

In German messages the worm can send itself as an attachment with the following names:

 Klassenfoto.<ext>
 www.iq4you-german-test.com
 Kundendat.BaB.<ext>
 www.freewantiv.com
 SysDial-patch.<ext>
 aktenz.txt.<ext>
 haha_sehr_witzig.<ext>
 DrohMails.<ext>
 RTL-DSDS-anmelde.<ext>
 www.free4manga.com
 Zugangsdaten.txt.<ext>
 www.free4share4you.com
 sharedfree.<ext>
 www.tagespolitik-umfragen.com
 Abstimmen.<ext>
 test.<ext>
 alledigis.<ext>
 remove-

The worm can use the following extensions (referenced above as <ext>) for the only or second extension of its attachment:

 bat
 cmd
 pif
 scr
 exe
 com

Here's an example of a German message sent by the worm:

Body:

 Sehr geehrte Damen und Herren,

 das herunterladen von Filmen, Software und MP3s ist illegal und
 somit Strafbar.

 Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner
 unter der IP 66.35.158.84 erfasst wurde. Der Inhalt Ihres
 Rechner wurde als Beweismittel sichergestellt und es wird ein
 Ermittlungsverfahren gegen Sie eingleitet.

 Die Strafanzeige und die Moglichkeit zur Stellungnahme wird
 Ihnen in den nachsten Tagen schriftlich zugestellt. Die von uns
 gesammelten Daten unter dem Aktenzeichen #36616 sind fur Sie und
 ggf. Ihrem Anwalt beigefugt und einsehbar.

 Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
 gemacht haben, wurde die Herkunft dieser Mail verschleiert.

 Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf,
 Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb
 Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer
 auberhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

 Hochachtungsvoll

Attachment:

 AKTENZ<random_numbers>.TXT.EXE

The worm in some cases uses semi-randomly generated attachment names. For example the worm's attachment name for the above shown e-mail can be AKTENZ36616.TXT.EXE.

The worm modifies its attachment to fool CRC-based detection: it can add random data to its file's end.

Spreading in file sharing networks

When active, the worm tries to locate shared folders of Kazaa, EMule and EDonkey2000. If such folders are located, the worm overwrites all executable files in those folders with its copy preserving the original file's size and name.

Back to the Top

Detection

Detection of Sober.C worm is available in the following FSAV updates:

Version=2003-12-20_01

Back to the Top

Technical Details: Alexey Podrezov and Katrin Tocheva; December 20th, 2003;

Description Updated: Alexey Podrezov; December 21th, 2003;

F-Secure Corporation