Win32/Sober [Threat Name] go to Threat

Win32/Sober.K [Threat Variant Name]

Category worm
Detection created Feb 21, 2005
Detection database version 1004
Short description

Win32/Sober.K is a worm that spreads via e-mail. The file is run-time compressed using UPX .

Installation

When executed, the worm copies itself into the %windir%\msagent\win32 folder using the following names:

  • smss.exe
  • csrss.exe
  • winlogon.exe

In order to be executed on every system start, the worm sets the following Registry entries:

  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • winsystem.sys = "C:\­WINNT\­msagent\­win32\­smss.exe"
  • [HKCU\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
    • _winsystem.sys = "C:\­WINNT\­msagent\­win32\­smss.exe"
Spreading via e-mail

E-mail addresses for further spreading are searched for in local files with one of the following extensions:

  • abc
  • abd
  • abx
  • adb
  • ade
  • adp
  • adr
  • asp
  • bak
  • bas
  • cfg
  • cgi
  • cls
  • cms
  • csv
  • ctl
  • dhtm
  • doc
  • dsp
  • dsw
  • eml
  • fdb
  • frm
  • hlp
  • imb
  • imh
  • imm
  • inbox
  • ini
  • jsp
  • ldb
  • ldif
  • log
  • mbx
  • mda
  • mdb
  • mde
  • mdw
  • mdx
  • mht
  • mmf
  • msg
  • nab
  • nch
  • nfo
  • nsf
  • nws
  • ods
  • oft
  • php
  • phtm
  • pl
  • pmr
  • pp
  • ppt
  • pst
  • rtf
  • shtm
  • slk
  • sln
  • stm
  • tbb
  • txt
  • uin
  • vap
  • vbs
  • vcf
  • wab
  • wsh
  • xhtml
  • xls
  • xml

Text of the e-mail is in ENG or GER .


Subject of the message is one of the following:

  • Your new Password
  • Mail_delivery_failed
  • Paris Hilton, pure!
  • Alert! New Sober Worm!
  • Ihr Passwort wurde geaendert
  • Ihr neues Passwort
  • EMail-Empfang fehlgeschlagen
  • Paris Hilton Nackt!
  • Paris Hilton SexVideos
  • Seitensprung gesucht?
  • Vorsicht! Neuer Sober Wurm!

The worm is able to generate a variety of message bodies.


Some examples follow.

  • *mo
  • Thanks for your registration!
  • We have received your payment.
  • For more detailed information, read the attached text.
  • This is an automatically generated Delivery Status Notification.
  • ESMTP Error []
  • I'm afraid I wasn't able to deliver your message.
  • This is a permanent error; I've given up. Sorry it didn't work out.
  • The full mail-text and header is attached
  • More than 50 HOT Hilton Videos
  • More than 3000 Hilton picks
  • FREE Download until April, 2005
  • Make your own Download Account, it's free!
  • Further details are attached
  • Thanks & have fun ;)
  • ATTENTION!
  • Antivirus vendors are warning of a new variant of the Sober virus discovered today that can delete the hard disk.
  • Protection: Download and read the zipped patch. It's very easy to install!
  • Thanks for your cooperation!
  • --- (c)2005 Microsoft Corporation. All rights reserved
  • --- Microsoft Corporation
  • --- One Microsoft Way
  • --- Redmond, Washington 98052-6399
  • You visit illegal websites
  • Dear Sir/Madam,
  • we have logged your IP-address on more than 40 illegal Websites.
  • Important: Please answer our questions!
  • The list of questions are attached.
  • Yours faithfully,
  • M. John Stellford
  • ++-++ Federal Bureau of Investigation -FBI-
  • ++-++ 935 Pennsylvania Avenue, NW, Room 2130
  • ++-++ Washington, DC 20535
  • ++-++ (202) 324-3000
  • ## Diese E-Mail wurde automatisch generiert
  • ## Aus Gruenden der Sicherheit, bekommen Sie diese E-Mail
  • ## wenn Ihr aktuelles Benutzer- Passwort veraendert wurde
  • ---------------
  • Ihr neues Passwort und weiter Informationen befinden sich im beigefuegten Dokument.
  • Der Betrag von ## ,- Euro ist erfolgreich auf unserem Konto eingegangen.
  • Passwort, Benutzername und weitere wichtige Informationen zu ihrem neuen Account befinden sich im angehefteten Dokument.
  • Hochachtungsvoll
  • Silvia Hochberger
  • Guten Tag,
  • mehr als 50 Videos,
  • Mehr als 1000 heisse Fotos
  • und mehr als 300 original Sounds von der kleinen Hilton ........ .
  • Alles frei zum Download, aber nur bis zum 01 April 2005 !!!
  • Weitere Details entnehmen Sie bitte dem vorliegendem Dokument.
  • Vielen Dank!
  • Webmaster
  • Wichtige Information!
  • Eine neue Sober-Variante verbreitet sich derzeit im Internet. Wie seine Vorgaenger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
  • Es wird deshalb empfohlen, das Patch-Tool auszufuehren um sich vor diesem Wurm zu schuetzen bzw. diesen wieder zu entfernen.
  • --- (c)2005 Microsoft Corporation. Alle Rechte vorbehalten
  • --- Vertretungsberechtigter: Juergen Gallmann
  • --- Handelsregisternummer: HRB 70438
  • --- E-Mail Adresse: security@microsoft.com
  • Hallo,
  • wir hoffen das Ihnen die Betreffszeile unsere Mail genug sagt.
  • Der Jugendschutz verbietet uns leider mehr Auskunft ueber unser Angebot zu geben.
  • Informationen,,,, wie Sie sich bei uns anmelden koennen befinden sich im beigefuegten Dokument.
  • Natuerlich ist die Anmeldung Kostenlos!
  • Mehr als 2.5 Millionen registrierte Benutzer!!!
  • Da ist fuer jeden was dabei!
  • Auf Wiedersehen

The message may contain one of the following lines:

  • Attachment: No Virus found
  • Mail-Scanner: No Virus detected
  • AntiVirus: Found to be clean
  • Anhang Scanner: Kein Virus enthalten
  • Mail Scanner: Kein Virus gefunden
  • AntiVirus System: No Virus found

The attachment is an archive, containing an executable of the worm.


Its filename may be one of the following:

  • PSW-Text.zip
  • zipped-text.zip
  • zipped-mail.zip
  • Register-Info.zip
  • Formular.zip
  • Tool.zip
  • text.zip
  • help-text.zip

Please enable Javascript to ensure correct displaying of this content and refresh this page.