Threat Description

Sober.C

Details

Category: Malware
Platform: W32
Aliases: Sober.C, I-Worm.Sober.C, W32/Sober.C

Summary


Sober.C is an e-mail worm that sends itself as an attachment to e-mail messages with different subject and body texts. Messages are composed from either German or English text strings depending on a recipient's domain suffix.

The worm can disguise itself as a message from a police, that allegedly found illegal movies, music and software on a user's computer. The worm's message tells that police filed a lawsuit against a user and a user is offered to read the rest of information in the attachment which has a .TXT.EXE extension. But the attachment contains only a sample of the worm. The worm can also send other kind of messages. Additionally, the worm has the functionality to spread in P2P (peer-to-peer) networks.



Removal


Automatic action

Once detected, the F-Secure security product will automatically disinfect the suspect file by either deleting it or renaming it.

More scanning & removal options

More information on scanning or removal options is available in the documentation for your F-Secure security product on the Downloads section of our Home - Global site.

You may also refer to the Knowledge Base on the F-Secure Community site for more information.

Contact Support

For further assistance, F-Secure customers can request support online via the Request support or the Chat forms on our Home - Global site.



Technical Details


The worm is written in Visual Basic. The worm's file is packed with a modified version of UPX file compressor. It has its own SMTP engine and it is used to send out infected e-mail messages.

Installation to system

When the worm's file is started, it shows a fake error message:

Runtime Error   has caused an unknown error.   

where <file_name> is the name of the worm's file. The messagebox can have a different caption and an additional text:

Microsoft   has caused an unknown error.  Stop: 00000010x08   

The worm copies itself to Windows System folder 3 times, once with SYSHOSTX.EXE name, and 2 more times with semi-randomly generated names, for example DIREXSYS.EXE or DXINBHEXDAT.EXE. The worm uses the following fixed text strings to generate the name of its files:

win  svc  task  sys  dll  host  end  dir  ms  run  ex  log  on  reg  ie  32  16  64  disk  api  app  con  mon  drv  crypt  dat  dx  diag  str  xp  hex   

The worm also creates a file named SAVESYSS.DLL, where it stores e-mail addresses harvested from an infected computer. The worm also creates 2 files named HUMGLY.LKUR and YFJQ.YQWM in the same folder.

The worm creates several startup Registry keys for one of its semi-randomly named files in System Registry:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]   

The worm also creates a startup key for its file in HKEY_USERS Registry tree:

[HKEY_USERS\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]   

The subkey name that is created by the worm is semi-randomly generated. The value of a subkey is the path to one of the worm's files in Windows System folder.

The worm always has 2 of its tasks in System Memory. If one task is killed, it is immediately restarted by another one. Also the worm refreshes its startup keys in the Registry every few seconds. This makes manual disinfection of the worm more difficult. Is should be also noted that the worm blocks read access to its 2 semi-randomly named files and to SAVESYSS.DLL file as well.

Spreading in e-mails.

The worm scans files with certain extensions to harvest e-mail addresses. Files with the following extensions are scanned:

htt  rtf  doc  xls  ini  mdb  txt  htm  html  wab  pst  fdb  cfg  ldb  eml  abc  ldif  nab  adp  mdw  mda  mde  ade  sln  dsw  dsp  vap  php  nsf  asp  shtml  shtm  dbx  hlp  mht  nfo   

The worm saves all found e-mail addresses to SAVESYSS.DLL file located in Windows System folder. This is an ASCII file, not binary.

The worm sends e-mail messages with German and English texts. When sending a message to an e-mail address, that has domain suffix DE, CH, AT, LI, NL or BE, the worm uses German text strings, otherwise it composes a message in English.

When sending messages in English, the worm can use the following subjects:

ups, i've got your mail  Sorry, that's your mail  hi, its me  Thank You very very much  you are an idiot  why me?  I hate you  Preliminary investigation were started  Your IP was logged  You use illegal File Sharing ...  A Trojan horse is on your PC  a trojan is on your computer!  Anime, Pokemon, Manga, ...   

The worm uses the following arrays of text strings for English message bodies:

i'm very very sorry, anybody have sent your mail to my address.  I've got your mail, but its came on my mail address???  i've read this mail ,,, sorry about that  excuse for my bad english, but I'm a Dutchman  sorry for my bad english, I am a Swede!  I don't know how to start this!  I'm dull,, can you test!?  cya  Here, the DigiCam photos. A few are overexposed.  cu  That you've killed this bastard.  Your reward:  That you have paid for me!  And that's your  list  card  picture  , too!  Caution: To all gamers  A new worm spread via online gaming!  You must change your internet configuration!!  see:  Attention: To all gamers  More than 75.000 freeware games!!!  Genre:  -> 8500 online games = 3D Shooter, RPG, Action, Adventure, ...  non online games:  -> Action = 4200 games  -> 3D Shooter's  = 7500 games  -> RPG's  = 6800 games  -> Adventure's = 5400 games  -> ROM's for NES, SNES, PS1&2, GC ,GB, MD, SMS, .. = 29.000 ROM's  -  others = 16900 games  all free!!  Download and enjoy  why do you do that?  You say in the www. that i'm a terrorist!!!  No way out for you. I REPORT YOU !  You've said THAT about me  Registration confirmation  registration confirmation  Thanks for your registration.  ( We say Sorry again, the first mail was delivered to an unknown mail address.  This was a bug in our mailing system! )  The amount of 239.- USD was deducted by your  Welcome,  you can now visit more than 1200 very very hot web pages!  Your registration, pages and passwords are  transferred  in the attachment.  I said, I love you..,, and you said   NOTHING  And now,,, Go Away From Me  Here are my love-letter((s)) mock me mock me  again and again .  Enjoy it. blablabla GO!  Ladies and Gentlemen,  Downloading of Movies, MP3s and Software is illegal and punishable by law.  We hereby inform you that your computer was scanned under the IP  The contents of your computer were confiscated as an evidence, and you will be indicated.  In the next days, you'll get the charge in writing.  You get the charge in writing, in the next days.  In the next days you will receive the charge in writing.  In the Reference code: #  are all files, that we found on your computer.  The sender address of this mail was masked,  to protect us against mail bombs.  to fend off mail bombs.  - You get more detailed information by the Federal Bureau of Investigation -FBI-  - Department for  Illegal Internet Downloads  , Room 7350  - 935 Pennsylvania Avenue  - Washington, DC 20535, USA  - (202) 324-3000  hi  hello  , I am from  Belgium  Denmark  Norway  Switzerland  Austria  Spain  and you'll don't believe me,  but a trojan horse in on your  computer.  I've scanned the network-ports on the internet. (I know, that's illegal)  And I have found your pc. Your pc is open on the internet for everybody!  Because the  .exe trojan is running on your system.  Check this, open the task manager and try to stop that!  You'll see, you can't stop this trojan.  When you use win98/me you can't see the trojan!!  On my system was this trojan, too!  And I've found a tool to kill that bad thing.  I hope that I've helped you!  Sorry for my bad english!  greets  NEW!  More than 84.000 entries on our page:  All about:  Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, and and and  Games, Video's, Pic's, Cards, MP3s, Screen-saver, and and and  and many many more!  And NO DIALERS  only banner advertisers!!!  have fun   

In English messages the worm can send itself as an attachment with the following names:

yourmail.txt.  yourmail.doc.  photos.  test.  reward.  youtoo.  set_config.  downloader.exe  www.freegames4you-gzone.com  www.onlinegamerspro-worm.com  idiot.  painfulness.  terror-list.  www.boards4all-terror432.com  account.  credit card.  yourregistration.txt.  letters.  refcode.txt.  mangaconection.  www.animepage43252.com  www.anime4allfree.com   

The worm can compose attachment names from the following parts:

-patch  remove-  _tool  services  smss  lsass   

For example an attachment name can be REMOVE-SMSS_TOOL.EXE.

The worm can use the following extensions (referenced above as <ext>) for the only or second extension of its attachment:

bat  cmd  pif  scr  exe  com   

When sending messages in German, the worm can use the following subjects:

Betr: Klassentreffen  Testen Sie ihren IQ  Bankverbindungs- Daten  Neuer Dialer Patch!  Ermittlungsverfahren wurde eingeleitet  Ihre IP wurde geloggt  Sie sind ein Raubkopierer  Sie tauschen illegal Dateien aus  Ich hasse dich  Ich zeige sie an!  Sie Drohen mir!!  Anime, Pokemon, Manga, Handy ...  Anmeldebestatigung  Neu! Legales Filesharing  Umfrage: Rente erst mit 80!  du wirst ausspioniert  Ein Trojaner ist auf Ihrem Rechner!  Du hast einen Trojaner drauf!   

The worm uses the following arrays of text strings for German message bodies:

Hi, Ich bin's  Hallo, ich hoffe das ich jetzt mal  die richtige  den richtigen  erwischt habe.  Nach einigen Pleiten, Pech und Pannen habe ich jetzt einfach  das damalige Klassenfoto mitgeschickt.  Wenn du dich dort erkennst, melde dich, falls du es wieder einmal nicht bist,  dann entschuldigen Sie bitte diese Storung.  Danke!  Guten Tag,  Ich bin wahrscheinlich zu  sind Sie auch der Meinung das Sie intelligenter sind,  als manch einer aus Ihren Umfeld glaubt!?  Dann beweisen Sie es. Auf unserer Homepage konnen sie es herausfinden.  Das sind naturlich Staatlich anerkannte psychologische Tests.  P.S.  Auf unsere Seite befinden sich keine Dialer oder Pop-up's, nur 2 Werbebanner.  Bei uns geht es noch ehrlich zu!!!  Sehr geehrte  Frau Meiers,  r Herr Westpfahl,  r Herr Salmanz,  Frau Bieders,  Wir mochten uns noch einmal fur unsere falsche  E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies  einige Fehler beim versenden auf.  Ihre Pass- und Geheimworter wurden selbstverstandlich kostenlos geandert.  Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.  In falschen Handen , hatte jede andere Person freie Einsicht  bzw. Verfugung uber Ihr Konto!  Mit freundlichen Grussen:  i.a: Regina Ruthers  +++ Bamberger Bank eG Raiffeisen-Volksbank  +++ Luitpoldstr. 19, 96052 Bamberg  +++ Telefon: 0951/8620  Kunden- Fax: 0951/862120  Seit einiger Zeit kursieren wieder gefahrlich neue Dialer und Wurmer durchs Netz.  Bei uns konnen sie kostenlos via Online Scan testen, ob Ihr System infiziert ist.  Weiterhin stellen wir zahllose Freeware Antiviren-Scanner zur Verfugung.  Naturlich sind auch alle aktuellen Patches von Microsoft & CO vorhanden.  Besuchen Sie uns doch einfach mal auf unserer Homepage.  Auf Wiedersehen  Sie mussen unbedingt einen neuen Patch installieren, um diese Maleware  abzuwehren.  Die von uns gesammelten Daten unter dem Aktenzeichen #  Diese Schadlinge kommen nicht per Mail, sie benutzen einen Bug  im Windows Netzwerk!  Benutzen sie den Patch um sich und andere nicht zu gefahrden.  Sehr geehrte Damen und Herren,  das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.  Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter  der IP  erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel  sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.  Die Strafanzeige und die Moglichkeit zur Stellungnahme wird Ihnen in den nachsten  Tagen schriftlich zugestellt.  sind fur Sie und ggf. Ihrem Anwalt beigefugt und einsehbar.  Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit  gemacht haben, wurde die Herkunft dieser Mail verschleiert.  Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf,  Europa Sonderkommission  Internet Downloads  Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868  Ihre Drohgebarden konnen sie woanders loswerden,  Rufnummer au?erhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868  Hochachtungsvoll  i.A. PK Mollbach  Wenn Du meinst mich beleidigen zu mussen, nur weil ich Dir  ein paar Liebes- Mails geschrieben habe, dann tut es mir Leid.  Hier haste deine bloden zynischen Antworten wieder!  Auf nimmer Wiedersehen .....  Wenn Sie meinen mir DROHEN zu konnen, haben sie sich in den Finger geschnitten!!!  Erstens mal, wei? ich gar nicht wer Sie sind.  Zweitens, kenne ich  Ihre Frau oder Freundin  Ihren Mann oder Freund  nicht.  Und Drittens, Ich habe kein Tachtel-Machtel mit Ihrem Partner!!!  Ihre Droh Mails habe ich gerade an die Behorden weitergeleitet.  aber nicht bei mir!  Sie horen noch von mir!  Deutschland Sucht Den  ...  RTL: DSDS  Deutschland Sucht Den Superstar (DSDS) auf RTL.  Hallo, Du wurdest zufallig von ca. 85.000 E-Mail Adressen  ausgewohlt, um bei RTL DSDS in der Zuschauer Jury mit zu Voten.  Das ganze hat auch noch ein SUPER Vorteil, Du bekommst zusatzlich noch  einen V.I.P Ausweis, mit dem du hinter den Kulissen bei den  Stars mit dabei sein darfst.  Es werden insgesamt 100 Personen fur die Zuschauer Jury gesucht  und 200 Personen haben wir per Mail angeschrieben.  Also, Deine Chancen stehen ziemlich gut mit dabei zu sein.  Du musst mindestens 12 Jahre alt sein, um mitmachen zu durfen.  Einfach das Anmeldformular ausfullen und auf Antwort warten.  Viel Gluck!  ++ RTL Geschaftsfuhrung: Dr. Constantin Lange  ++ Director Content / Chefredakteur Neue Medien: Patrick Zeilhofer  ++ Am Coloneum 1, 50829 Koln  ++ Fon: +49 (0) 180 5 44 66 99, Fax: +49 (0) 180 5 44 77 77 (0,12 EURO / Minute)  Guten Tag,  da immer mehr unseriose Internet Seiten mit gefahrlichen Dialern entstehen,  haben wir uns gedacht, es geht auch Ohne Dialer!  Bei uns haben sie die Auswahl zwischen 87.000 verschiedenen Produkten.  Unter den Artikeln sind:  Handy Klingeltone  Handy Spiele ( uber 400 Stuck! )  Alles uber Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, und und und  und noch vieles vieles mehr ...  Wir wurden uns Freuen, wenn Sie unsere DIALER FREIE Webseite besuchen.  Sehr geehrter Kunde,  Vielen Dank fur Ihre Anmeldung auf unserem Server.  Der Betrag von Euro 279,- wurde erfolgreich von Ihrem Konto abgebucht.  Ihnen stehen nun 1 Jahr lang mehr als 2300 sehr sehr hei?  Internet Seiten zur Verfugung.  Wir bedauern, das es im Vorfeld so lange gedauert hat,  unser Mail Dienst hatte diese Daten auf einen anderen E-Mail Empfanger geschickt.  Da nun dieser Fehler behoben zu sein scheint, wunschen wir Ihnen  viel Spass mit unserem Angebot!  Die Seiten die Sie nun aufrufen konnen und die Zugangsdaten  befinden sich gesichert im Anhang.  Sitzt Ihnen immer die Angst im Nacken, wenn Sie sich MP3's herunterladen?  Wenn ja, dann benutzen sie unsere neue Filesharing Software!  Bei uns ist das Filesharing erlaubt, weil wir mit Werbebanner unser  Geld verdienen. (KEINE DIALER!!)  Von das Erwirtschaftete Geld, entrichten wir eine feste Summe an die Musik Industrie!  Dadurch haben wir die Erlaubnis, MP3's zum tausch anbieten zu konnen.  Fur Sie aber, ist alles Kostenlos und die MP3's sind nicht  gekurzt oder zerstort. (Alles Originale)  Wir wurden uns freuen, wenn Sie unser Programm einmal ausprobieren wurden.  Es nehmen bereits mehr als 500.000 registrierte Benutzer unseren Dienst  in Anspruch.  Hans Tiusanen  - Sound Nord OHG Hans Tiusanen & Andreas Burgmann  - 25421 Pinneberg, Hindenburgdamm 77  - Telefon: 01401/27207  Sie Lesen richtig!!  Das sind die neuen, noch Geheimen Plane unserer super tollen Helden Politiker.  Lesen sie dazu mehr auf unserer Seite und Stimmen Sie ab,  ob man so einen Irrsinn unterstutzen soll oder nicht.  Juten Tach,  habe mal einen internet port scan gemacht. dabei konnte  ich deinen rechner sehen und einsteigen.  deine mail adresse hab ich auch auf deinem pc gefunden.  bei dir ist der trojaner  .exe am wuten. deshalb kann  jeder auf deinen rechner zugreifen!  du kannst ja mal den taskmanager offnen, und versuchen ihn zu beenden.  du wirst aber feststellen, das er sich nicht beenden lasst.  solltest du windows98/me haben, siehst du ihn erst gar nicht im task!  dieses hartnackige miststuck hatte ich auch mal drauf, 3 tage  hat es gedauert, bis ich endlich ein programm zum entfernen  gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,  meld dich einfach.  Ich bin wahrscheinlich zu  domlich  , Ich kriegs nicht gebacken.  Kannst du das mal testen!  Ich ruf dich spater mal an.  Hier die Digi-Cam Bilder. Manche sind nix geworden!   

In German messages the worm can send itself as an attachment with the following names:

Klassenfoto.  www.iq4you-german-test.com  Kundendat.BaB.  www.freewantiv.com  SysDial-patch.  aktenz.txt.  haha_sehr_witzig.  DrohMails.  RTL-DSDS-anmelde.  www.free4manga.com  Zugangsdaten.txt.  www.free4share4you.com  sharedfree.  www.tagespolitik-umfragen.com  Abstimmen.  test.  alledigis.  remove-   

The worm can use the following extensions (referenced above as <ext>) for the only or second extension of its attachment:

bat  cmd  pif  scr  exe  com   

Here's an example of a German message sent by the worm:

Body:

Sehr geehrte Damen und Herren,  das herunterladen von Filmen, Software und MP3s ist illegal und  somit Strafbar.  Wir mochten Ihnen hiermit vorab mitteilen, dass Ihr Rechner  unter der IP 66.35.158.84 erfasst wurde. Der Inhalt Ihres  Rechner wurde als Beweismittel sichergestellt und es wird ein  Ermittlungsverfahren gegen Sie eingleitet.  Die Strafanzeige und die Moglichkeit zur Stellungnahme wird  Ihnen in den nachsten Tagen schriftlich zugestellt. Die von uns  gesammelten Daten unter dem Aktenzeichen #36616 sind fur Sie und  ggf. Ihrem Anwalt beigefugt und einsehbar.  Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit  gemacht haben, wurde die Herkunft dieser Mail verschleiert.  Nahere Auskunft erteilt Ihnen die Kriminalpolizei Dusseldorf,  Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb  Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer  auberhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868  Hochachtungsvoll   

Attachment:

AKTENZ.TXT.EXE   

The worm in some cases uses semi-randomly generated attachment names. For example the worm's attachment name for the above shown e-mail can be AKTENZ36616.TXT.EXE.

The worm modifies its attachment to fool CRC-based detection: it can add random data to its file's end.

Spreading in file sharing networks

When active, the worm tries to locate shared folders of Kazaa, EMule and EDonkey2000. If such folders are located, the worm overwrites all executable files in those folders with its copy preserving the original file's size and name.



Detection


Detection of Sober.C worm is available in the following FSAV updates:

Detection Type: PC
Database: 2003-12-20_01



Description Details: Alexey Podrezov and Katrin Tocheva; December 20th, 2003
Description Last Modified: Alexey Podrezov; December 21th, 2003


SUBMIT A SAMPLE

Suspect a file or URL was wrongly detected? Submit a sample to our Labs for analysis

Submit Now

Give And Get Advice

Give advice. Get advice. Share the knowledge on our free discussion forum.

Learn More