Win32/Sober [Threat Name] go to Threat

Win32/Sober.A [Threat Variant Name]

Category worm
Aliases W32.Sober (Symantec)
Short description

Win32/Sober.A is a worm that spreads via e-mail. The file is run-time compressed.


When executed, the worm copies itself into the %system% folder using one of the following file names:

  • artiv.exe
  • sy-?O?T.exe
  • similare.exe

In order to be executed on every system start, the worm sets the following Registry entry:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
    • "syspath" = "%system%\­%malwarename%"
Spreading via e-mail

E-mail addresses for further spreading are searched for in local files.

The data is saved in the following file:

  • %system%\­Macromed\­Help\­Media.dll

Text of the e-mail is in anglickom or nemeckom .

Subject of the message is one of the following:

  • Neuer Virus im Umlauf!
  • Back At The Funny Farm
  • Sie versenden Spam Mails (Virus?)
  • Ein Wurm ist auf Ihrem Computer!
  • Langsam reicht es mir
  • Sie haben mir einen Wurm geschickt!
  • Hi Schnuckel was machst du so
  • VORSICHT!!! Neuer Mail Wurm
  • Re: Kontakt
  • RE: Sex
  • Sorry, Ich habe Ihre Mail bekommen
  • Hi Olle, lange niks mehr gehört!
  • Re: lol
  • Viurs blockiert jeden PC (Vorsicht!)
  • Überraschung>Ich habe Ihre E-Mail bekommen !
  • Jetzt rate mal, wer ich bin !?
  • Neue Sobig Variante (Lesen!!)
  • Ich Liebe Dich
  • New internet virus!
  • You send spam mails (Worm?)
  • A worm is on your computer!
  • You have sent me a virus!
  • Hi darling, what are you doing now?
  • Be careful! New mail worm
  • Re: Contact
  • Sorry, I've become your mail
  • Hey man, long not see you
  • Viurs blocked every PC (Take care!)
  • Surprise,I've become your mail! Advise who I am!
  • New Sobig-Worm variation (please read)
  • I love you (I'm not a virus!)
  • I permanently get Spam-Mails from you and inside is a virus!!
  • You should remove these thing

The worm is able to generate a variety of message bodies.

The attachment is an executable of the worm.

Its filename is one of the following:

  • AntiVirusDoc.pif
  • Check-Patch.bat
  • Screen_Doku.scr
  • Removal-Tool.exe
  • Perversionen.scr
  • Bild.scr
  • Mausi.scr
  • Anti-Sob.bat
  • security.pif
  • Funny.scr
  • Odin_Worm.exe
  • check-patch.bat
  • anti_virusdoc.pif
  • Hengst.pif
  • perversion.scr
  • pic.scr
  • playme.exe
  • robot_mailer.pif
  • private.exe
  • anti-trojan.exe
  • little-scr.scr
  • schnitzel.exe
  • anti-Sob.bat
  • AntiTrojan.exe
  • NAV.pif
  • funny.scr
Other information

The worm displays a fake error message:

Please enable Javascript to ensure correct displaying of this content and refresh this page.