SecurityHome.eu Email-Worm:W32/Sober.Q

Home / malware PDF

Email-Worm:W32/Sober.Q

First posted on 26 July 2010.
Source: SecurityHome
Aliases :
There are no other names known for Email-Worm:W32/Sober.Q.
Explanation :
A worm that spreads via e-mail, usually in infected executable e-mail file attachments.

Additional DetailsSober.Q was found on May 14th, 2005 and is installed to computers infected by Sober.P. This Sober variant doesn't spread itself in e-mails, but it does mass-mail political statements.

Sober.Q is written in Visual Basic. Its file is a PE executable about 54 kilobytes long, packed with modified UPX file compressor. Sober.Q has its own SMTP engine.

Installation

Once run, Sober.Q drops three new files "services.exe", "csrss.exe" and "smss.exe" into the %WinDir%\Help\Help\ folder, created by the worm. All dropped files are closely related to the original worm's binary.

Sober.Q adds startup keys for "services.exe" in System Registry:

€ [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemBoot" = "%WinDir%\Help\Help\services.exe"
It also drops several other files in the installation folder:

€ sacri2.ggg € sacri3.ggg € voner1.von € voner2.von € voner3.von € sysonce.tst € fastso.ber
Sober.Q also writes the following message:

[address removed]
[address removed]

Ich bin immer noch kein Spammer!
Aber sollte vielleicht einer werden :)

In diesem Sinne

in the file %SysDir%\Spammer.Readme

Additionally, Sober.Q drops the following empty files to Windows folder
and installation folder:

€ adcmmmmq.hjg € seppelmx.smx € xcvfpokd.tqa € gdfjgthv.cvq € langeinf.lin
These files are used to deactivate previous variants of Sober.

Payload

Sober.Q monitors a fixed list of NTP servers to syncronize its time. If the date is 23.5.2005 or later, instead of mass mailing, it tries to download and execute file from one of the following domains:

€ people.freenet.de € scifi.pages.at € free.pages.at € home.pages.at € home.arcor.de
The directory part of the URL is a pseudo-random string. It is based on date returned from the NTP servers.

The following list of NTP servers is monitored:

€ Rolex.PeachNet.edu € clock.psu.edu € ntp3.fau.de € utcnist.colorado.edu € sundial.columbia.edu € time-a.timefreq.bldrdoc.gov € ntp-sop.inria.fr € rolex.usg.edu € time.xmission.com € ntp.massayonet.com.br € ntp-1.ece.cmu.edu € time.nist.gov € ntp.lth.se € cuckoo.nevada.edu € ntp-2.ece.cmu.edu € time.kfki.hu € ntp.pads.ufrj.br € time-ext.missouri.edu € os.ntp.carnet.hr € timelord.uregina.ca € ntp2b.mcc.ac.uk
Sober.Q checks for its network connection using 'RasEnumConnections' win32 API call. If not successful, it tries to connect to several domains using TCP port 80. The worm also queries the following list of DNS servers:

€ 165.230.111.195 € 211.196.153.150 € 150.203.1.10 € 216.194.225.70 € 165.230.99.71 € 8.10.3.56 € 128.135.5.5 € 202.89.131.4 € 219.127.89.34 € 129.115.102.150 € 38.9.211.2 € 134.94.80.2 € 130.149.2.12 € 131.215.254.100 € 128.194.254.2 € 4.2.2.3 € 195.185.185.195 € 209.68.2.46 € 129.186.1.200 € 198.6.1.2 € 131.243.64.3 € 24.93.40.33 € 195.182.96.29 € 158.43.128.1 € 61.95.134.168 € 200.74.214.246 € 204.117.214.10 € 194.25.2.129 € 203.162.0.11 € 210.66.241.1 € 217.237.150.225 € 217.237.151.161 € 128.9.12 8.127 € 151.201.0.39 € 209.253.113.2 € 213.239.234.108 € 62.156.146.242 € 207.69.188.186 € 207.217.120.43 € 129.187.10.25 € 200.52.83.103 € 129.187.16.1 € 141.40.10.35 € 213.218.170.6 € 212.242.88.2 € 193.158.124.143
One of the following domains are queried from the DNS servers:

€ microsoft.com € bigfoot.com € yahoo.com € t-online.de € google.com € hotmail.com
If the worm cannot connect to network, it might display a message box saying "Memory Read in Winsock Module {0x0000001F} failed. Restart your Computer to fix this problem".

Process Termination

Sober.Q tries to terminate all processes with the following strings in the name:

€ microsoftanti € gcas € gcip € giantanti € inetupd. € nod32kui € nod32. € fxsob € s-t-i-n-g € hijack € sober

Security settings manipulation

Sober.Q tries to disable Windows built-in firewall by writing the following registry entry:

€ [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = "0"
It also tries to disable Windows updating with the following registry entry:

€ [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions" = "0"

Deactivation of Sober.Q

Sober.Q looks for a file named 'bbvmwxxf.hml'. If this file is present in Windows System folder, Sober.Q does not install itself to a system.

Propagation (E-mail)

If the date is between 15.5.2005 and 22.5.2005, Sober.Q starts the mass mailing routine. The date is checked from NTP servers.

It scans files with certain extensions on all hard disks to harvest e-mail addresses. Files with the following extensions are scanned:

€ pmr € phtm € stm € slk € inbox € imb € csv € bak € imh € xhtml € imm € imh € cms € nws € vcf € ctl € dhtm € cgi € pp € ppt € msg € jsp € oft € vbs € uin € ldb € abc € pst € cfg € mdw € mbx € mdx € mda € adp € nab € fdb € vap € dsp € ade € sln € dsw € mde € frm € bas € adr € cls € ini € ldif € log € mdb € xml € wsh € tbb € abx € abd € adb € pl € rtf € mmf € doc € ods € nch € xls € nsf € txt € wab € eml € hlp € mht € nfo € php € asp € shtml € dbx
Sober.Q ignores e-mail addresses that contain any of the following substrings:

€ ntp- € ntp@ € ntp. € test@ € @www € @from. € smtp- € @smtp. € gold-certs € ftp. € .dial. € .ppp. € anyone € subscribe € announce € @gmetref € sql. € someone € nothing € you@ € user@ € reciver@ € somebody € secure € whatever@ € whoever@ € anywhere € yourname € mustermann@ € .kundenserver. € mailer-daemon € variabel € noreply € -dav € law2 € .sul.t- € .qmail@ € t-ipconnect € t-dialin € ipt.aol € time € freeav € @ca. € abuse € winrar € domain. € host. € viren € bitdefender € spybot € detection € ewido. € emsisoft € linux € google € @foo. € winzip € @example. € bellcore. € @arin € mozilla € iana@ € iana- € @iana € @avp € icrosoft. € @sophos € @panda € @kaspers € free-av € antivir € virus € verizon. € @ikarus. € @nai. € @messagelab € nlpmail01. € clock
If Sober.Q sends messages to domains with suffixes '.de', '.ch', '.at', '.li' or to 'gmx.'
domain, it composes messages in German, otherwise English messages are composed.

The messages contain right-wing related propaganda. Possible german messages are:

Subject:
4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Body text:
[address removed]
Neue Dokumente:
[address removed]
Botschafter in Kiew beschwerte sich noch 2004:
[address removed]
Traumziel Deutschland:
Ohne Deutsch nach Deutschland:
[address removed]
[address removed]
Kanzler erleichtert Visaverfahren fr Golfstaaten:
[address removed]
Vorbildliche Aktion:
[address removed]

---- or ----

Subject:
Auf Streife durch den Berliner Wedding
Body text:
[address removed]
[address removed]

---- or ----

Subject:
Auslaender bevorzugt
Body text:
[address removed]
Jetzt weiss man auch, wie es dazu kommt, dass Drogen, Waffen & Handy's in die Haende
der Knacki's gelangen!

---- or ----

Subject:
Deutsche Buerger trauen sich nicht ...
Body text:
Auslaenderbanden terrorisieren Wahlkampf - deutsche Buerger trauen sich nicht ihre
Meinung zu sagen!
Weiter auf:
[address removed]
Auslaender ueberfallen nationale Aktivisten:
[address removed]
[address removed]

---- or ----

Subject:
Auslaenderpolitik
Body text:
[address removed]

---- or ----

Subject:
Blutige Selbstjustiz
Body text:
[address removed]
Polizeiexperten warnen: Ethnisch abgeschottete Mafia-Clans sind kaum noch zu
durchdringen. Die Gerichte tragen Mitschuld.
Weiter auf:
[address removed]

---- or ----

Subject:
Deutsche werden kuenftig beim Arzt abgezockt
Body text:
[address removed]
EU-Abgeordnete goennen sich luxurioese Vollversorgung:
[address removed]
Deutsche Krankenversicherungen muessen fuer Harems-Frauen zahlen:
[address removed]
Kassenfunktionaere vervierfachten Gehalt:
[address removed]

---- or ----

Subject:
Paranoider Deutschenmoerder kommt in Psychia trie
Body text:
[address removed]

---- or ----

Subject:
Du wirst zum Sklaven gemacht!!!
Body text:
[address removed]
Immer mehr Frauen prostituieren sich:
[address removed]
STAATSPROPAGANDA:
[address removed]

---- or ----

Subject:
Dresden 1945
Body text:
[address removed]

---- or ----

Subject:
Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
Body text:
[address removed]

---- or ----

Subject:
Gegen das Vergessen
Body text:
In den fruehen Abendstunden des 13. Februar 1945 gegen 21:41 Uhr
heulten die Sirenen der Lazarettstadt Dresden das erste mal auf. Die Bewohner
der Elbmetropole machten sich zu der Zeit noch keine Sorgen, da Dresden als
Stadt ohne Bewaffnungund ohne militaerischen Nutzen bekannt war und von ca.
1,2 Millionen Frauen, Kindern und Greisen bewohnt wurde.
Gegen 22:09 Uhr gab der Rundfunk durch, dadie alliierten Bomberverbaende ihren
Kurs geaendert haben und nun auf Dresden zufliegen. Kurz darauf befanden sich
244 britische Bomber am Himmel der deutschen Kulturstadt. Drei Stunden nach
dieser ersten Angriffswelle - es befanden sich bereits alle
verfuegbarenRettungsmannschaften, Sanitaeter und Feuerwehmaenner in Dresden -
verdunkelten weitere 500 Bomber den Himmel.
Am naechsten Tag folgte die letzte Angriffswelle mit erneut 300 US-B-17-Bombern.
Zwischen 12:12 Uhr und 12:21 Uhr warfen diese 783 Tonnen Bomben ab. - Das
entspricht mehr als 85 Tonnen pro Minute. Nach dem Abwerfen setzten die
US-Bomber zum Tiefflug an und beschossen Fluechtende mit ihren Bordwaffen.
In diesen drei Angriffsschlaegen, die insgesamt 14 Stunden andauerten, warfen die
Befreier 650.000 Brandbomben und 200.000 Sprengbomben ab, welche einen
Feuersturm von ueber 1000 Grad in der Stadt erzeugten. Obwohl Dresden weder
Flugabwehr, noch Ruestungsindustrie oder aehnliche kriegswichtige Ziele besass
wurden weit mehr als 350.000 unschuldige deutsche Zivilisten in diesen zwei
Tagen kaltbluetig ermordet.
Keiner der schuldigen Alliierten wurde jemals fuer dieses brutale
Kriegsverbrechen auchnur angeklagt und die Massenmedien und die bundesdeutsche
Regierung schweigen diese Taten tot und sehen es nicht als noetig an den
Opfern zu gedenken.!

---- or ----

Subject:
Tuerkei in die EU
Body text:
GEWALTEXZESS:
[address removed]
Politiker zerrei t Menschenrechtsbericht:
[address removed]
Schily = Hitler
[address removed]
Schily wehrt sich gegen Hitler-Vergleiche:
[address removed]
Sie hat ja wie eine Deutsche gelebt:
[address removed]
[address removed]
Parallelgesellschaften - Feind hoerte mit:
[address removed]
Sie war unerlaubt spazieren:
[address removed]
Tiere an Autobahn geschlachtet:
[address removed]

---- or ----

Subject:
Hier sind wir Lehrer die einzigen Auslaender
Body text:
[address removed]
[address removed]

---- or ----

Subject:
Multi-Kulturell = Multi-Kriminell
Body text:
[address removed]

---- or ----

Subject:
Verbrechen der deutschen Frau
Body text:
[address removed]

---- or ----

Subject:
S.O.S. Kiez! Polizei schlaegt Alarm
Body text:
[address removed]

---- or ----

Subject:
Transparenz ist das Mindeste
Body text:
[address removed]

---- or ----

Subject:
Trotz Stellenabbau
Body text:
[address removed]

---- or ----

Subject:
Vorbildliche Aktion
Body text:
[address removed]

---- or ----

Subject:
Augen auf
Body text:
[address removed]

---- or ----

Subject:
Du wirst ausspioniert ....!
Body text:
und weisst es nicht einmal:
[address removed]

---- or ----

Subject:
Volk wird nur zum zahlen gebraucht!
Body text:
[address removed]
... damit Sie nicht als der erste Kanzler in die deutsche Geschichte eingehen,
der Untertanen verboten hat, aus ihren Fenstern auf die Strasse zu gucken -
selbst Nazis und Stalinisten haben niemals eine aehnliche Anordnung treffen lassen!

---- or ----

Subject:
60 Jahre Befreiung: Wer feiert mit?
Body text:
[address removed]

---- or ----

Subject:
Graeberschaendung auf bundesdeutsche Anordnung
Body text:
[address removed]

---- or ----

Subject:
Schily ueber Deutschland
Body text:
[address removed]

---- or ----

Following are the possible english messages:

Subject:
The Whore Lived Like a German
Body text:
Full Article:
[address removed]

---- or ----

Subject:
Turkish Tabloid Enrages Germany with Nazi Comparisons
Body text:
Full Article:
[address removed]

---- or ----

Subject:
Dresden Bombing Is To Be Regretted Enormously
Body text:
Full Article:
[address removed]

---- or ----

Subject:
Armenian Genocide Plagues Ankara 90 Years On
Body text:
Full Article:
[address removed]

Detection

Sober.Q is detected with the following FSAV update:
[FSAV_Database_Version]
Version=2005-05-14_01
Last update 26 July 2010

TOP

Malware :

Last 20

Email-Worm:W32/Sober.Q

Aliases :

Explanation :

Malware :

Family: