Threat Description

Email-Worm:W32/Sober.Q

Details

Aliases: Email-Worm:W32/Sober.Q, Email-Worm.Win32.Sober.q
Category: Malware
Type: Email-Worm
Platform: W32

Summary


A worm that spreads via e-mail, usually in infected executable e-mail file attachments.



Removal


Automatic action

Once detected, the F-Secure security product will automatically disinfect the suspect file by either deleting it or renaming it.

More

Detailed instructions for F-Secure security products are available in the documentation found in the Downloads section of our Home - Global site.

You may also refer to the Knowledge Base on the F-Secure Community site for further assistance.



Technical Details


Sober.Q was found on May 14th, 2005 and is installed to computers infected by Sober.P. This Sober variant doesn't spread itself in e-mails, but it does mass-mail political statements.Sober.Q is written in Visual Basic. Its file is a PE executable about 54 kilobytes long, packed with modified UPX file compressor. Sober.Q has its own SMTP engine.

Installation

Once run, Sober.Q drops three new files "services.exe", "csrss.exe" and "smss.exe" into the %WinDir%\Help\Help\ folder, created by the worm. All dropped files are closely related to the original worm's binary.

Sober.Q adds startup keys for "services.exe" in System Registry:

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SystemBoot" = "%WinDir%\Help\Help\services.exe"

It also drops several other files in the installation folder:

  • sacri2.ggg
  • sacri3.ggg
  • voner1.von
  • voner2.von
  • voner3.von
  • sysonce.tst
  • fastso.ber

Sober.Q also writes the following message:

[address removed] [address removed]  Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :)  In diesem Sinne  

in the file %SysDir%\Spammer.Readme

Additionally, Sober.Q drops the following empty files to Windows folder and installation folder:

  • adcmmmmq.hjg
  • seppelmx.smx
  • xcvfpokd.tqa
  • gdfjgthv.cvq
  • langeinf.lin

These files are used to deactivate previous variants of Sober.

Payload

Sober.Q monitors a fixed list of NTP servers to syncronize its time. If the date is 23.5.2005 or later, instead of mass mailing, it tries to download and execute file from one of the following domains:

  • people.freenet.de
  • scifi.pages.at
  • free.pages.at
  • home.pages.at
  • home.arcor.de

The directory part of the URL is a pseudo-random string. It is based on date returned from the NTP servers.

The following list of NTP servers is monitored:

  • Rolex.PeachNet.edu
  • clock.psu.edu
  • ntp3.fau.de
  • utcnist.colorado.edu
  • sundial.columbia.edu
  • time-a.timefreq.bldrdoc.gov
  • ntp-sop.inria.fr
  • rolex.usg.edu
  • time.xmission.com
  • ntp.massayonet.com.br
  • ntp-1.ece.cmu.edu
  • time.nist.gov
  • ntp.lth.se
  • cuckoo.nevada.edu
  • ntp-2.ece.cmu.edu
  • time.kfki.hu
  • ntp.pads.ufrj.br
  • time-ext.missouri.edu
  • os.ntp.carnet.hr
  • timelord.uregina.ca
  • ntp2b.mcc.ac.uk

Sober.Q checks for its network connection using 'RasEnumConnections' win32 API call. If not successful, it tries to connect to several domains using TCP port 80. The worm also queries the following list of DNS servers:

  • 165.230.111.195
  • 211.196.153.150
  • 150.203.1.10
  • 216.194.225.70
  • 165.230.99.71
  • 8.10.3.56
  • 128.135.5.5
  • 202.89.131.4
  • 219.127.89.34
  • 129.115.102.150
  • 38.9.211.2
  • 134.94.80.2
  • 130.149.2.12
  • 131.215.254.100
  • 128.194.254.2
  • 4.2.2.3
  • 195.185.185.195
  • 209.68.2.46
  • 129.186.1.200
  • 198.6.1.2
  • 131.243.64.3
  • 24.93.40.33
  • 195.182.96.29
  • 158.43.128.1
  • 61.95.134.168
  • 200.74.214.246
  • 204.117.214.10
  • 194.25.2.129
  • 203.162.0.11
  • 210.66.241.1
  • 217.237.150.225
  • 217.237.151.161
  • 128.9.12 8.127
  • 151.201.0.39
  • 209.253.113.2
  • 213.239.234.108
  • 62.156.146.242
  • 207.69.188.186
  • 207.217.120.43
  • 129.187.10.25
  • 200.52.83.103
  • 129.187.16.1
  • 141.40.10.35
  • 213.218.170.6
  • 212.242.88.2
  • 193.158.124.143

One of the following domains are queried from the DNS servers:

  • microsoft.com
  • bigfoot.com
  • yahoo.com
  • t-online.de
  • google.com
  • hotmail.com

If the worm cannot connect to network, it might display a message box saying "Memory Read in Winsock Module {0x0000001F} failed. Restart your Computer to fix this problem".

Process Termination

Sober.Q tries to terminate all processes with the following strings in the name:

  • microsoftanti
  • gcas
  • gcip
  • giantanti
  • inetupd.
  • nod32kui
  • nod32.
  • fxsob
  • s-t-i-n-g
  • hijack
  • sober
Security settings manipulation

Sober.Q tries to disable Windows built-in firewall by writing the following registry entry:

  • [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = "0"

It also tries to disable Windows updating with the following registry entry:

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions" = "0"
Deactivation of Sober.Q

Sober.Q looks for a file named 'bbvmwxxf.hml'. If this file is present in Windows System folder, Sober.Q does not install itself to a system.

Propagation (E-mail)

If the date is between 15.5.2005 and 22.5.2005, Sober.Q starts the mass mailing routine. The date is checked from NTP servers.

It scans files with certain extensions on all hard disks to harvest e-mail addresses. Files with the following extensions are scanned:

  • pmr
  • phtm
  • stm
  • slk
  • inbox
  • imb
  • csv
  • bak
  • imh
  • xhtml
  • imm
  • imh
  • cms
  • nws
  • vcf
  • ctl
  • dhtm
  • cgi
  • pp
  • ppt
  • msg
  • jsp
  • oft
  • vbs
  • uin
  • ldb
  • abc
  • pst
  • cfg
  • mdw
  • mbx
  • mdx
  • mda
  • adp
  • nab
  • fdb
  • vap
  • dsp
  • ade
  • sln
  • dsw
  • mde
  • frm
  • bas
  • adr
  • cls
  • ini
  • ldif
  • log
  • mdb
  • xml
  • wsh
  • tbb
  • abx
  • abd
  • adb
  • pl
  • rtf
  • mmf
  • doc
  • ods
  • nch
  • xls
  • nsf
  • txt
  • wab
  • eml
  • hlp
  • mht
  • nfo
  • php
  • asp
  • shtml
  • dbx

Sober.Q ignores e-mail addresses that contain any of the following substrings:

  • ntp-
  • ntp@
  • ntp.
  • test@
  • @www
  • @from.
  • smtp-
  • @smtp.
  • gold-certs
  • ftp.
  • .dial.
  • .ppp.
  • anyone
  • subscribe
  • announce
  • @gmetref
  • sql.
  • someone
  • nothing
  • you@
  • user@
  • reciver@
  • somebody
  • secure
  • whatever@
  • whoever@
  • anywhere
  • yourname
  • mustermann@
  • .kundenserver.
  • mailer-daemon
  • variabel
  • noreply
  • -dav
  • law2
  • .sul.t-
  • .qmail@
  • t-ipconnect
  • t-dialin
  • ipt.aol
  • time
  • freeav
  • @ca.
  • abuse
  • winrar
  • domain.
  • host.
  • viren
  • bitdefender
  • spybot
  • detection
  • ewido.
  • emsisoft
  • linux
  • google
  • @foo.
  • winzip
  • @example.
  • bellcore.
  • @arin
  • mozilla
  • iana@
  • iana-
  • @iana
  • @avp
  • icrosoft.
  • @sophos
  • @panda
  • @kaspers
  • free-av
  • antivir
  • virus
  • verizon.
  • @ikarus.
  • @nai.
  • @messagelab
  • nlpmail01.
  • clock

If Sober.Q sends messages to domains with suffixes '.de', '.ch', '.at', '.li' or to 'gmx.' domain, it composes messages in German, otherwise English messages are composed.

The messages contain right-wing related propaganda. Possible german messages are:

Subject:

4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass Body text:  [address removed] Neue Dokumente: [address removed] Botschafter in Kiew beschwerte sich noch 2004: [address removed] Traumziel Deutschland: Ohne Deutsch nach Deutschland: [address removed] [address removed] Kanzler erleichtert Visaverfahren fr Golfstaaten: [address removed] Vorbildliche Aktion: [address removed]   ---- or ----    Subject:  Auf Streife durch den Berliner Wedding Body text:  [address removed] [address removed]   ---- or ----    Subject:  Auslaender bevorzugt Body text:  [address removed] Jetzt weiss man auch, wie es dazu kommt, dass Drogen, Waffen & Handy's in die Haende der Knacki's gelangen!   ---- or ----    Subject:  Deutsche Buerger trauen sich nicht ... Body text:  Auslaenderbanden terrorisieren Wahlkampf - deutsche Buerger trauen sich nicht ihre Meinung zu sagen! Weiter auf: [address removed] Auslaender ueberfallen nationale Aktivisten: [address removed] [address removed]   ---- or ----    Subject:  Auslaenderpolitik Body text:  [address removed]   ---- or ----    Subject:  Blutige Selbstjustiz Body text:  [address removed] Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans sind kaum noch zu durchdringen. Die Gerichte tragen Mitschuld. Weiter auf: [address removed]   ---- or ----    Subject:  Deutsche werden kuenftig beim Arzt abgezockt Body text:  [address removed] EU-Abgeordnete goennen sich luxurioese Vollversorgung: [address removed] Deutsche Krankenversicherungen muessen fuer Harems-Frauen zahlen: [address removed] Kassenfunktionaere vervierfachten Gehalt: [address removed]   ---- or ----    Subject:  Paranoider Deutschenmoerder kommt in Psychia trie Body text:  [address removed]   ---- or ----    Subject:  Du wirst zum Sklaven gemacht!!! Body text:  [address removed] Immer mehr Frauen prostituieren sich: [address removed] STAATSPROPAGANDA: [address removed]   ---- or ----    Subject:  Dresden 1945 Body text:  [address removed]   ---- or ----    Subject:  Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer Body text:  [address removed]   ---- or ----   Subject:  Gegen das Vergessen Body text:  In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohner der Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden als Stadt ohne Bewaffnungund ohne militaerischen Nutzen bekannt war und von ca. 1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde. Gegen 22:09 Uhr gab der Rundfunk durch, dadie alliierten Bomberverbaende ihren Kurs geaendert haben und nun auf Dresden zufliegen. Kurz darauf befanden sich 244 britische Bomber am Himmel der deutschen Kulturstadt. Drei Stunden nach dieser ersten Angriffswelle - es befanden sich bereits alle verfuegbarenRettungsmannschaften, Sanitaeter und Feuerwehmaenner in Dresden - verdunkelten weitere 500 Bomber den Himmel. Am naechsten Tag folgte die letzte Angriffswelle mit erneut 300 US-B-17-Bombern. Zwischen 12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab. - Das entspricht mehr als 85 Tonnen pro Minute. Nach dem Abwerfen setzten die US-Bomber zum Tiefflug an und beschossen Fluechtende mit ihren Bordwaffen. In diesen drei Angriffsschlaegen, die insgesamt 14 Stunden andauerten, warfen die Befreier 650.000 Brandbomben und 200.000 Sprengbomben ab, welche einen Feuersturm von ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden weder Flugabwehr, noch Ruestungsindustrie oder aehnliche kriegswichtige Ziele besass wurden weit mehr als 350.000 unschuldige deutsche Zivilisten in diesen zwei Tagen kaltbluetig ermordet. Keiner der schuldigen Alliierten wurde jemals fuer dieses brutale Kriegsverbrechen auchnur angeklagt und die Massenmedien und die bundesdeutsche Regierung schweigen diese Taten tot und sehen es nicht als noetig an den Opfern zu gedenken.!   ---- or ----    Subject:  Tuerkei in die EU Body text:  GEWALTEXZESS: [address removed] Politiker zerrei t Menschenrechtsbericht: [address removed] Schily = Hitler [address removed] Schily wehrt sich gegen Hitler-Vergleiche: [address removed] Sie hat ja wie eine Deutsche gelebt: [address removed] [address removed] Parallelgesellschaften - Feind hoerte mit: [address removed] Sie war unerlaubt spazieren: [address removed] Tiere an Autobahn geschlachtet: [address removed]   ---- or ----   Subject:  Hier sind wir Lehrer die einzigen Auslaender Body text:  [address removed] [address removed]   ---- or ----    Subject:  Multi-Kulturell = Multi-Kriminell Body text:  [address removed]   ---- or ----    Subject:  Verbrechen der deutschen Frau Body text:  [address removed]   ---- or ----    Subject:  S.O.S. Kiez! Polizei schlaegt Alarm Body text:  [address removed]   ---- or ----    Subject:  Transparenz ist das Mindeste Body text:  [address removed]   ---- or ----   Subject:  Trotz Stellenabbau Body text:  [address removed]   ---- or ----    Subject:  Vorbildliche Aktion Body text:  [address removed]   ---- or ----    Subject:  Augen auf Body text:  [address removed]   ---- or ----    Subject:  Du wirst ausspioniert ....! Body text:  und weisst es nicht einmal: [address removed]   ---- or ----    Subject:  Volk wird nur zum zahlen gebraucht! Body text:  [address removed] ... damit Sie nicht als der erste Kanzler in die deutsche Geschichte eingehen, der Untertanen verboten hat, aus ihren Fenstern auf die Strasse zu gucken - selbst Nazis und Stalinisten haben niemals eine aehnliche Anordnung treffen lassen!   ---- or ----   Subject:  60 Jahre Befreiung: Wer feiert mit? Body text:  [address removed]   ---- or ----    Subject:  Graeberschaendung auf bundesdeutsche Anordnung Body text:  [address removed]   ---- or ----    Subject:  Schily ueber Deutschland Body text:  [address removed]   

Following are the possible english messages:

Subject:  The Whore Lived Like a German Body text:  Full Article: [address removed]   ---- or ----    Subject:  Turkish Tabloid Enrages Germany with Nazi Comparisons Body text:  Full Article: [address removed]   ---- or ----    Subject:  Dresden Bombing Is To Be Regretted Enormously Body text:  Full Article: [address removed]   ---- or ----    Subject:  Armenian Genocide Plagues Ankara 90 Years On Body text:  Full Article: [address removed]  


Detection


Sober.Q is detected with the following FSAV update:
Database: 2005-05-14_01




SUBMIT A SAMPLE

Suspect a file or URL was wrongly detected? Submit a sample to our Labs for analysis

Submit Now

Give And Get Advice

Give advice. Get advice. Share the knowledge on our free discussion forum.

Learn More