Email-Worm:W32/Sober.Q

Classification

Category :

Malware

Type :

Email-Worm

Aliases :

Email-Worm:W32/Sober.Q, Email-Worm.Win32.Sober.q

Summary

A worm that spreads via email, usually in infected executable email file attachments.

Removal

Based on the settings of your F-Secure security product, it will either move the file to the quarantine where it cannot spread or cause harm, or remove it.

A False Positive is when a file is incorrectly detected as harmful, usually because its code or behavior resembles known harmful programs. A False Positive will usually be fixed in a subsequent database update without any action needed on your part. If you wish, you may also:

  • Check for the latest database updates

    First check if your F-Secure security program is using the latest updates, then try scanning the file again.

  • Submit a sample

    After checking, if you still believe the file is incorrectly detected, you can submit a sample of it for re-analysis.

    Note: If the file was moved to quarantine, you need to collect the file from quarantine before you can submit it.

  • Exclude a file from further scanning

    If you are certain that the file is safe and want to continue using it, you can exclude it from further scanning by the F-Secure security product.

    Note: You need administrative rights to change the settings.

Technical Details

Sober.Q was found on May 14th, 2005 and is installed to computers infected by Sober.P. This Sober variant doesn't spread itself in emails, but it does mass-mail political statements.Sober.Q is written in Visual Basic. Its file is a PE executable about 54 kilobytes long, packed with modified UPX file compressor. Sober.Q has its own SMTP engine.

Installation

Once run, Sober.Q drops three new files "services.exe", "csrss.exe" and "smss.exe" into the %WinDir%\Help\Help\ folder, created by the worm. All dropped files are closely related to the original worm's binary.

Sober.Q adds startup keys for "services.exe" in System Registry:

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SystemBoot" = "%WinDir%\Help\Help\services.exe"

It also drops several other files in the installation folder:

  • sacri2.ggg
  • sacri3.ggg
  • voner1.von
  • voner2.von
  • voner3.von
  • sysonce.tst
  • fastso.ber

Sober.Q also writes the following message:

[address removed] [address removed]
Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :)
In diesem Sinne

in the file %SysDir%\Spammer.Readme

Additionally, Sober.Q drops the following empty files to Windows folder and installation folder:

  • adcmmmmq.hjg
  • seppelmx.smx
  • xcvfpokd.tqa
  • gdfjgthv.cvq
  • langeinf.lin

These files are used to deactivate previous variants of Sober.

Payload

Sober.Q monitors a fixed list of NTP servers to syncronize its time. If the date is 23.5.2005 or later, instead of mass mailing, it tries to download and execute file from one of the following domains:

  • people.freenet.de
  • scifi.pages.at
  • free.pages.at
  • home.pages.at
  • home.arcor.de

The directory part of the URL is a pseudo-random string. It is based on date returned from the NTP servers.

The following list of NTP servers is monitored:

  • Rolex.PeachNet.edu
  • clock.psu.edu
  • ntp3.fau.de
  • utcnist.colorado.edu
  • sundial.columbia.edu
  • time-a.timefreq.bldrdoc.gov
  • ntp-sop.inria.fr
  • rolex.usg.edu
  • time.xmission.com
  • ntp.massayonet.com.br
  • ntp-1.ece.cmu.edu
  • time.nist.gov
  • ntp.lth.se
  • cuckoo.nevada.edu
  • ntp-2.ece.cmu.edu
  • time.kfki.hu
  • ntp.pads.ufrj.br
  • time-ext.missouri.edu
  • os.ntp.carnet.hr
  • timelord.uregina.ca
  • ntp2b.mcc.ac.uk

Sober.Q checks for its network connection using 'RasEnumConnections' win32 API call. If not successful, it tries to connect to several domains using TCP port 80. The worm also queries the following list of DNS servers:

  • 165.230.111.195
  • 211.196.153.150
  • 150.203.1.10
  • 216.194.225.70
  • 165.230.99.71
  • 8.10.3.56
  • 128.135.5.5
  • 202.89.131.4
  • 219.127.89.34
  • 129.115.102.150
  • 38.9.211.2
  • 134.94.80.2
  • 130.149.2.12
  • 131.215.254.100
  • 128.194.254.2
  • 4.2.2.3
  • 195.185.185.195
  • 209.68.2.46
  • 129.186.1.200
  • 198.6.1.2
  • 131.243.64.3
  • 24.93.40.33
  • 195.182.96.29
  • 158.43.128.1
  • 61.95.134.168
  • 200.74.214.246
  • 204.117.214.10
  • 194.25.2.129
  • 203.162.0.11
  • 210.66.241.1
  • 217.237.150.225
  • 217.237.151.161
  • 128.9.12 8.127
  • 151.201.0.39
  • 209.253.113.2
  • 213.239.234.108
  • 62.156.146.242
  • 207.69.188.186
  • 207.217.120.43
  • 129.187.10.25
  • 200.52.83.103
  • 129.187.16.1
  • 141.40.10.35
  • 213.218.170.6
  • 212.242.88.2
  • 193.158.124.143

One of the following domains are queried from the DNS servers:

  • microsoft.com
  • bigfoot.com
  • yahoo.com
  • t-online.de
  • google.com
  • hotmail.com

If the worm cannot connect to network, it might display a message box saying "Memory Read in Winsock Module {0x0000001F} failed. Restart your Computer to fix this problem".

Process Termination

Sober.Q tries to terminate all processes with the following strings in the name:

  • microsoftanti
  • gcas
  • gcip
  • giantanti
  • inetupd.
  • nod32kui
  • nod32.
  • fxsob
  • s-t-i-n-g
  • hijack
  • sober

Security settings manipulation

Sober.Q tries to disable Windows built-in firewall by writing the following registry entry:

  • [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = "0"

It also tries to disable Windows updating with the following registry entry:

  • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update] "AUOptions" = "0"

Deactivation of Sober.Q

Sober.Q looks for a file named 'bbvmwxxf.hml'. If this file is present in Windows System folder, Sober.Q does not install itself to a system.

Propagation (email)

If the date is between 15.5.2005 and 22.5.2005, Sober.Q starts the mass mailing routine. The date is checked from NTP servers.

It scans files with certain extensions on all hard disks to harvest email addresses. Files with the following extensions are scanned:

  • pmr
  • phtm
  • stm
  • slk
  • inbox
  • imb
  • csv
  • bak
  • imh
  • xhtml
  • imm
  • imh
  • cms
  • nws
  • vcf
  • ctl
  • dhtm
  • cgi
  • pp
  • ppt
  • msg
  • jsp
  • oft
  • vbs
  • uin
  • ldb
  • abc
  • pst
  • cfg
  • mdw
  • mbx
  • mdx
  • mda
  • adp
  • nab
  • fdb
  • vap
  • dsp
  • ade
  • sln
  • dsw
  • mde
  • frm
  • bas
  • adr
  • cls
  • ini
  • ldif
  • log
  • mdb
  • xml
  • wsh
  • tbb
  • abx
  • abd
  • adb
  • pl
  • rtf
  • mmf
  • doc
  • ods
  • nch
  • xls
  • nsf
  • txt
  • wab
  • eml
  • hlp
  • mht
  • nfo
  • php
  • asp
  • shtml
  • dbx

Sober.Q ignores email addresses that contain any of the following substrings:

  • ntp-
  • ntp@
  • ntp.
  • test@
  • @www
  • @from.
  • smtp-
  • @smtp.
  • gold-certs
  • ftp.
  • .dial.
  • .ppp.
  • anyone
  • subscribe
  • announce
  • @gmetref
  • sql.
  • someone
  • nothing
  • you@
  • user@
  • reciver@
  • somebody
  • secure
  • whatever@
  • whoever@
  • anywhere
  • yourname
  • mustermann@
  • .kundenserver.
  • mailer-daemon
  • variabel
  • noreply
  • -dav
  • law2
  • .sul.t-
  • .qmail@
  • t-ipconnect
  • t-dialin
  • ipt.aol
  • time
  • freeav
  • @ca.
  • abuse
  • winrar
  • domain.
  • host.
  • viren
  • bitdefender
  • spybot
  • detection
  • ewido.
  • emsisoft
  • linux
  • google
  • @foo.
  • winzip
  • @example.
  • bellcore.
  • @arin
  • mozilla
  • iana@
  • iana-
  • @iana
  • @avp
  • icrosoft.
  • @sophos
  • @panda
  • @kaspers
  • free-av
  • antivir
  • virus
  • verizon.
  • @ikarus.
  • @nai.
  • @messagelab
  • nlpmail01.
  • clock

If Sober.Q sends messages to domains with suffixes '.de', '.ch', '.at', '.li' or to 'gmx.' domain, it composes messages in German, otherwise English messages are composed.

The messages contain right-wing related propaganda. Possible german messages are:

Subject:

4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass Body text:
[address removed] Neue Dokumente: [address removed] Botschafter in Kiew beschwerte sich noch 2004: [address removed] Traumziel Deutschland: Ohne Deutsch nach Deutschland: [address removed] [address removed] Kanzler erleichtert Visaverfahren fr Golfstaaten: [address removed] Vorbildliche Aktion: [address removed]
 ---- or ----

Subject:
Auf Streife durch den Berliner Wedding Body text:
[address removed] [address removed]
 ---- or ----

Subject:
Auslaender bevorzugt Body text:
[address removed] Jetzt weiss man auch, wie es dazu kommt, dass Drogen, Waffen & Handy's in die Haende der Knacki's gelangen!
 ---- or ----

Subject:
Deutsche Buerger trauen sich nicht ... Body text:
Auslaenderbanden terrorisieren Wahlkampf - deutsche Buerger trauen sich nicht ihre Meinung zu sagen! Weiter auf: [address removed] Auslaender ueberfallen nationale Aktivisten: [address removed] [address removed]
 ---- or ----

Subject:
Auslaenderpolitik Body text:
[address removed]
 ---- or ----

Subject:
Blutige Selbstjustiz Body text:
[address removed] Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans sind kaum noch zu durchdringen. Die Gerichte tragen Mitschuld. Weiter auf: [address removed]
 ---- or ----

Subject:
Deutsche werden kuenftig beim Arzt abgezockt Body text:
[address removed] EU-Abgeordnete goennen sich luxurioese Vollversorgung: [address removed] Deutsche Krankenversicherungen muessen fuer Harems-Frauen zahlen: [address removed] Kassenfunktionaere vervierfachten Gehalt: [address removed]
 ---- or ----

Subject:
Paranoider Deutschenmoerder kommt in Psychia trie Body text:
[address removed]
 ---- or ----

Subject:
Du wirst zum Sklaven gemacht!!! Body text:
[address removed] Immer mehr Frauen prostituieren sich: [address removed] STAATSPROPAGANDA: [address removed]
 ---- or ----

Subject:
Dresden 1945 Body text:
[address removed]
 ---- or ----

Subject:
Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer Body text:
[address removed]
 ---- or ----
 Subject:
Gegen das Vergessen Body text:
In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhr heulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohner der Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden als Stadt ohne Bewaffnungund ohne militaerischen Nutzen bekannt war und von ca. 1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde. Gegen 22:09 Uhr gab der Rundfunk durch, dadie alliierten Bomberverbaende ihren Kurs geaendert haben und nun auf Dresden zufliegen. Kurz darauf befanden sich 244 britische Bomber am Himmel der deutschen Kulturstadt. Drei Stunden nach dieser ersten Angriffswelle - es befanden sich bereits alle verfuegbarenRettungsmannschaften, Sanitaeter und Feuerwehmaenner in Dresden - verdunkelten weitere 500 Bomber den Himmel. Am naechsten Tag folgte die letzte Angriffswelle mit erneut 300 US-B-17-Bombern. Zwischen 12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab. - Das entspricht mehr als 85 Tonnen pro Minute. Nach dem Abwerfen setzten die US-Bomber zum Tiefflug an und beschossen Fluechtende mit ihren Bordwaffen. In diesen drei Angriffsschlaegen, die insgesamt 14 Stunden andauerten, warfen die Befreier 650.000 Brandbomben und 200.000 Sprengbomben ab, welche einen Feuersturm von ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden weder Flugabwehr, noch Ruestungsindustrie oder aehnliche kriegswichtige Ziele besass wurden weit mehr als 350.000 unschuldige deutsche Zivilisten in diesen zwei Tagen kaltbluetig ermordet. Keiner der schuldigen Alliierten wurde jemals fuer dieses brutale Kriegsverbrechen auchnur angeklagt und die Massenmedien und die bundesdeutsche Regierung schweigen diese Taten tot und sehen es nicht als noetig an den Opfern zu gedenken.!
 ---- or ----

Subject:
Tuerkei in die EU Body text:
GEWALTEXZESS: [address removed] Politiker zerrei t Menschenrechtsbericht: [address removed] Schily = Hitler [address removed] Schily wehrt sich gegen Hitler-Vergleiche: [address removed] Sie hat ja wie eine Deutsche gelebt: [address removed] [address removed] Parallelgesellschaften - Feind hoerte mit: [address removed] Sie war unerlaubt spazieren: [address removed] Tiere an Autobahn geschlachtet: [address removed]
 ---- or ----
 Subject:
Hier sind wir Lehrer die einzigen Auslaender Body text:
[address removed] [address removed]
 ---- or ----

Subject:
Multi-Kulturell = Multi-Kriminell Body text:
[address removed]
 ---- or ----

Subject:
Verbrechen der deutschen Frau Body text:
[address removed]
 ---- or ----

Subject:
S.O.S. Kiez! Polizei schlaegt Alarm Body text:
[address removed]
 ---- or ----

Subject:
Transparenz ist das Mindeste Body text:
[address removed]
 ---- or ----
 Subject:
Trotz Stellenabbau Body text:
[address removed]
 ---- or ----

Subject:
Vorbildliche Aktion Body text:
[address removed]
 ---- or ----

Subject:
Augen auf Body text:
[address removed]
 ---- or ----

Subject:
Du wirst ausspioniert ....! Body text:
und weisst es nicht einmal: [address removed]
 ---- or ----

Subject:
Volk wird nur zum zahlen gebraucht! Body text:
[address removed] ... damit Sie nicht als der erste Kanzler in die deutsche Geschichte eingehen, der Untertanen verboten hat, aus ihren Fenstern auf die Strasse zu gucken - selbst Nazis und Stalinisten haben niemals eine aehnliche Anordnung treffen lassen!
 ---- or ----
 Subject:
60 Jahre Befreiung: Wer feiert mit? Body text:
[address removed]
 ---- or ----

Subject:
Graeberschaendung auf bundesdeutsche Anordnung Body text:
[address removed]
 ---- or ----

Subject:
Schily ueber Deutschland Body text:
[address removed]
 

Following are the possible english messages:

Subject:
The Whore Lived Like a German Body text:
Full Article: [address removed]
 ---- or ----

Subject:
Turkish Tabloid Enrages Germany with Nazi Comparisons Body text:
Full Article: [address removed]
 ---- or ----

Subject:
Dresden Bombing Is To Be Regretted Enormously Body text:
Full Article: [address removed]
 ---- or ----

Subject:
Armenian Genocide Plagues Ankara 90 Years On Body text:
Full Article: [address removed]