F-Secure Virus Descriptions : Sober.Q
[Summary] | [Detailed Description] | [Detection]
Sober.Q was found on May 14th, 2005.
This Sober variant doesn't spread itself in e-mails. Instead, it mass-mails political
statements. Sober.Q is installed to computers infected by Sober.P.
Sober.Q is written in Visual Basic. Its file is a PE executable about 54 kilobytes long,
packed with modified UPX file compressor. Sober.Q has its own SMTP engine.
Installation to System
Once run, Sober.Q drops three new files "services.exe", "csrss.exe" and "smss.exe"
into the %WinDir%\Help\Help\ folder, created by the worm. All dropped
files are closely related to the original worm's binary.
Sober.Q adds startup keys for "services.exe" in System Registry:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemBoot" = "%WinDir%\Help\Help\services.exe"
It also drops several other files in the installation folder:
sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
sysonce.tst
fastso.ber
Sober.Q also writes the following message:
[address removed]
[address removed]
Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)
In diesem Sinne
in the file %SysDir%\Spammer.Readme
Additionally, Sober.Q drops the following empty files to Windows folder
and installation folder:
adcmmmmq.hjg
seppelmx.smx
xcvfpokd.tqa
gdfjgthv.cvq
langeinf.lin
These files are used to deactivate previous variants of Sober.
Sending E-mails
If the date is between 15.5.2005 and 22.5.2005, Sober.Q starts the mass
mailing routine. The date is checked from NTP servers (see 'Payload' below).
It scans files with certain extensions on all hard disks to harvest
e-mail addresses. Files with the following extensions are scanned:
pmr
phtm
stm
slk
inbox
imb
csv
bak
imh
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx
Sober.Q ignores e-mail addresses that contain any of the following substrings:
ntp-
ntp@
ntp.
test@
@www
@from.
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
whatever@
whoever@
anywhere
yourname
mustermann@
.kundenserver.
mailer-daemon
variabel
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emsisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
iana@
iana-
@iana
@avp
icrosoft.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
clock
If Sober.Q sends messages to domains with suffixes '.de', '.ch', '.at', '.li' or to 'gmx.'
domain, it composes messages in German, otherwise English messages are composed.
The messages contain right-wing related propaganda. Possible german messages are:
Subject:
4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Body text:
[address removed]
Neue Dokumente:
[address removed]
Botschafter in Kiew beschwerte sich noch 2004:
[address removed]
Traumziel Deutschland:
Ohne Deutsch nach Deutschland:
[address removed]
[address removed]
Kanzler erleichtert Visaverfahren fr Golfstaaten:
[address removed]
Vorbildliche Aktion:
[address removed]
---- or ----
Subject:
Auf Streife durch den Berliner Wedding
Body text:
[address removed]
[address removed]
---- or ----
Subject:
Auslaender bevorzugt
Body text:
[address removed]
Jetzt weiss man auch, wie es dazu kommt, dass Drogen, Waffen & Handy's in die Haende
der Knacki's gelangen!
---- or ----
Subject:
Deutsche Buerger trauen sich nicht ...
Body text:
Auslaenderbanden terrorisieren Wahlkampf - deutsche Buerger trauen sich nicht ihre
Meinung zu sagen!
Weiter auf:
[address removed]
Auslaender ueberfallen nationale Aktivisten:
[address removed]
[address removed]
---- or ----
Subject:
Auslaenderpolitik
Body text:
[address removed]
---- or ----
Subject:
Blutige Selbstjustiz
Body text:
[address removed]
Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans sind kaum noch zu
durchdringen. Die Gerichte tragen Mitschuld.
Weiter auf:
[address removed]
---- or ----
Subject:
Deutsche werden kuenftig beim Arzt abgezockt
Body text:
[address removed]
EU-Abgeordnete goennen sich luxurioese Vollversorgung:
[address removed]
Deutsche Krankenversicherungen muessen fuer Harems-Frauen zahlen:
[address removed]
Kassenfunktionaere vervierfachten Gehalt:
[address removed]
---- or ----
Subject:
Paranoider Deutschenmoerder kommt in Psychia trie
Body text:
[address removed]
---- or ----
Subject:
Du wirst zum Sklaven gemacht!!!
Body text:
[address removed]
Immer mehr Frauen prostituieren sich:
[address removed]
STAATSPROPAGANDA:
[address removed]
---- or ----
Subject:
Dresden 1945
Body text:
[address removed]
---- or ----
Subject:
Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
Body text:
[address removed]
---- or ----
Subject:
Gegen das Vergessen
Body text:
In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhr
heulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohner
der Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden als
Stadt ohne Bewaffnungund ohne militaerischen Nutzen bekannt war und von ca.
1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde.
Gegen 22:09 Uhr gab der Rundfunk durch, dadie alliierten Bomberverbaende ihren
Kurs geaendert haben und nun auf Dresden zufliegen. Kurz darauf befanden sich
244 britische Bomber am Himmel der deutschen Kulturstadt. Drei Stunden nach
dieser ersten Angriffswelle - es befanden sich bereits alle
verfuegbarenRettungsmannschaften, Sanitaeter und Feuerwehmaenner in Dresden -
verdunkelten weitere 500 Bomber den Himmel.
Am naechsten Tag folgte die letzte Angriffswelle mit erneut 300 US-B-17-Bombern.
Zwischen 12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab. - Das
entspricht mehr als 85 Tonnen pro Minute. Nach dem Abwerfen setzten die
US-Bomber zum Tiefflug an und beschossen Fluechtende mit ihren Bordwaffen.
In diesen drei Angriffsschlaegen, die insgesamt 14 Stunden andauerten, warfen die
Befreier 650.000 Brandbomben und 200.000 Sprengbomben ab, welche einen
Feuersturm von ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden weder
Flugabwehr, noch Ruestungsindustrie oder aehnliche kriegswichtige Ziele besass
wurden weit mehr als 350.000 unschuldige deutsche Zivilisten in diesen zwei
Tagen kaltbluetig ermordet.
Keiner der schuldigen Alliierten wurde jemals fuer dieses brutale
Kriegsverbrechen auchnur angeklagt und die Massenmedien und die bundesdeutsche
Regierung schweigen diese Taten tot und sehen es nicht als noetig an den
Opfern zu gedenken.!
---- or ----
Subject:
Tuerkei in die EU
Body text:
GEWALTEXZESS:
[address removed]
Politiker zerrei t Menschenrechtsbericht:
[address removed]
Schily = Hitler
[address removed]
Schily wehrt sich gegen Hitler-Vergleiche:
[address removed]
Sie hat ja wie eine Deutsche gelebt:
[address removed]
[address removed]
Parallelgesellschaften - Feind hoerte mit:
[address removed]
Sie war unerlaubt spazieren:
[address removed]
Tiere an Autobahn geschlachtet:
[address removed]
---- or ----
Subject:
Hier sind wir Lehrer die einzigen Auslaender
Body text:
[address removed]
[address removed]
---- or ----
Subject:
Multi-Kulturell = Multi-Kriminell
Body text:
[address removed]
---- or ----
Subject:
Verbrechen der deutschen Frau
Body text:
[address removed]
---- or ----
Subject:
S.O.S. Kiez! Polizei schlaegt Alarm
Body text:
[address removed]
---- or ----
Subject:
Transparenz ist das Mindeste
Body text:
[address removed]
---- or ----
Subject:
Trotz Stellenabbau
Body text:
[address removed]
---- or ----
Subject:
Vorbildliche Aktion
Body text:
[address removed]
---- or ----
Subject:
Augen auf
Body text:
[address removed]
---- or ----
Subject:
Du wirst ausspioniert ....!
Body text:
und weisst es nicht einmal:
[address removed]
---- or ----
Subject:
Volk wird nur zum zahlen gebraucht!
Body text:
[address removed]
... damit Sie nicht als der erste Kanzler in die deutsche Geschichte eingehen,
der Untertanen verboten hat, aus ihren Fenstern auf die Strasse zu gucken -
selbst Nazis und Stalinisten haben niemals eine aehnliche Anordnung treffen lassen!
---- or ----
Subject:
60 Jahre Befreiung: Wer feiert mit?
Body text:
[address removed]
---- or ----
Subject:
Graeberschaendung auf bundesdeutsche Anordnung
Body text:
[address removed]
---- or ----
Subject:
Schily ueber Deutschland
Body text:
[address removed]
---- or ----
Following are the possible english messages:
Subject:
The Whore Lived Like a German
Body text:
Full Article:
[address removed]
---- or ----
Subject:
Turkish Tabloid Enrages Germany with Nazi Comparisons
Body text:
Full Article:
[address removed]
---- or ----
Subject:
Dresden Bombing Is To Be Regretted Enormously
Body text:
Full Article:
[address removed]
---- or ----
Subject:
Armenian Genocide Plagues Ankara 90 Years On
Body text:
Full Article:
[address removed]
Payload
Sober.Q monitors a fixed list of NTP servers to syncronize its time.
If the date is 23.5.2005 or later, instead of mass mailing, it tries
to download and execute file from one of the following domains:
people.freenet.de
scifi.pages.at
free.pages.at
home.pages.at
home.arcor.de
The directory part of the URL is a pseudo-random string. It is
based on date returned from the NTP servers.
The following list of NTP servers is monitored:
Rolex.PeachNet.edu
clock.psu.edu
ntp3.fau.de
utcnist.colorado.edu
sundial.columbia.edu
time-a.timefreq.bldrdoc.gov
ntp-sop.inria.fr
rolex.usg.edu
time.xmission.com
ntp.massayonet.com.br
ntp-1.ece.cmu.edu
time.nist.gov
ntp.lth.se
cuckoo.nevada.edu
ntp-2.ece.cmu.edu
time.kfki.hu
ntp.pads.ufrj.br
time-ext.missouri.edu
os.ntp.carnet.hr
timelord.uregina.ca
ntp2b.mcc.ac.uk
Sober.Q checks for its network connection using
'RasEnumConnections' win32 API call. If not successful,
it tries to connect to several domains using TCP port 80.
The worm also queries the following list of DNS servers:
165.230.111.195
211.196.153.150
150.203.1.10
216.194.225.70
165.230.99.71
8.10.3.56
128.135.5.5
202.89.131.4
219.127.89.34
129.115.102.150
38.9.211.2
134.94.80.2
130.149.2.12
131.215.254.100
128.194.254.2
4.2.2.3
195.185.185.195
209.68.2.46
129.186.1.200
198.6.1.2
131.243.64.3
24.93.40.33
195.182.96.29
158.43.128.1
61.95.134.168
200.74.214.246
204.117.214.10
194.25.2.129
203.162.0.11
210.66.241.1
217.237.150.225
217.237.151.161
128.9.12 8.127
151.201.0.39
209.253.113.2
213.239.234.108
62.156.146.242
207.69.188.186
207.217.120.43
129.187.10.25
200.52.83.103
129.187.16.1
141.40.10.35
213.218.170.6
212.242.88.2
193.158.124.143
One of the following domains are queried from the DNS servers:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
If the worm cannot connect to network, it might display a message
box saying "Memory Read in Winsock Module {0x0000001F} failed.
Restart your Computer to fix this problem".
Process termination
Sober.Q tries to terminate all processes with the following strings
in the name:
microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsob
s-t-i-n-g
hijack
sober
Security settings manipulation
Sober.Q tries to disable Windows built-in firewall by writing the
following registry entry:
[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
It also tries to disable Windows updating with the following
registry entry:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions" = "0"
Deactivation of Sober.Q
Sober.Q looks for a file named 'bbvmwxxf.hml'. If this file is present
in Windows System folder, Sober.Q does not install itself to a system.
Sober.Q is detected with the following FSAV update:
Version=2005-05-14_01
Updated:
Jarkko Turkulainen; May 20th, 2005;
Technical details:
Jarkko Turkulainen; May 16th, 2005;
F-Secure Corporation
|
![](/images/pixel.gif"){kind=tracking}
