Alias:Worm/Sober.gen, W32/Sober.q@MM, Win32.Sober.Q@mm, W32/Sober-Gen
Type:Trojan 
Size:53.801 bytes 
Origin: 
Date:05-15-2005 
Damage: 
VDF Version:6.30.00.177 
Danger:Medium 
Distribution:Medium 

General Description[Platform]
*Windows 95
*Windows 98
*Windows ME
*Windows NT
*Windows 2000
*Windows XP
*Windows Server 2003

[Damage routine]
Email sending.

DistributionThe trojan sends right wing extremist spam-emails. The virus has an internal date trigger from 11.05.2005. At 15.05.2005 0:00h it starts its spam routine. 12 days later it should download a newer version of itself. Following are some of spam emails sent by Sober.Q:

Subject:

Tuerkei in die EU

Body:

GEWALTEXZESS:

http://www.spiegel.de/politik/ausland/0,1518,345203,00.html

Politiker zerreißt Menschenrechtsbericht:

http://www.spiegel.de/politik/ausland/0,1518,325983,00.html

Schily = Hitler

http://www.spiegel.de/politik/deutschland/0,1518,345929,0 0.html

Schily wehrt sich gegen Hitler-Vergleiche:

http://www.spiegel.de/politik/deutschland/0,1518,345749,0 0.html

Sie hat ja wie eine Deutsche gelebt:

http://www.spiegel.de/panorama/0,1518,342484,00.html

http://www.npd.de/npd_info/deutschland/2005/d****-31.html

Parallelgesellschaften - Feind hoerte mit:

http://www.npd.de/npd_info/meldungen/2005/m***5-15.html

Sie war unerlaubt spazieren:

http://www.taz.de/pt/2004/11/25/a0143.nf/text

Tiere an Autobahn geschlachtet:

http://forum.gofeminin.de/forum/actu1/__f384_actu1-Tu**** *KE.html

OR

Subject:

Deutsche werden kuenftig beim Arzt abgezockt

Body:

Lese selbst:

http://globalfire.tv/nj/03de/politik/fru****form.htm

EU-Abgeordnete goennen sich luxurioese Vollversorgung:

http://www.rp-online.de/public/article/nachrichten/politi k/ausland/85804

Deutsche Krankenversicherungen muessen fuer Harems-Frauen zahlen:

http://www.spiegel.de/spiegel/vorab/0,1518,323476,00.html

Kassenfunktionaere vervierfachten Gehalt:

http://www.spiegel.de/wirtschaft/0,1518,353600,00.html

OR

Subject:

Du wirst ausspioniert ....!

Body:

und weisst es nicht einmal:

http://www.heise.de/newsticker/meldung/58003

http://www.heise.de/newsticker/meldung/59304

http://www.heise.de/newsticker/meldung/58311

http://www.heise.de/newsticker/meldung/58351

OR

Subject:

Transparenz ist das Mindeste

Body:

Lese selbst:

http://www.npd.de/npd_info/deutschland/2005/d0*****9.html

OR

Subject:

Trotz Stellenabbau

Body:

Lese selbst:

http://www.spiegel.de/wirtschaft/0,1518,338652,00.html

OR

Subject:

S.O.S. Kiez! Polizei schlaegt Alarm

Body:

Lese selbst:
http://bz.berlin1.de/archiv/041115_pdf/BZ041115_004_GB2IG 556.1.htm

OR

Subject:

Auf Streife durch den Berliner Wedding

Body:

Lese selbst:

http://www.zdf.de/ZDFde/inhalt/7/0,1872,2222503,00.html

http://www.libasoli.de/2004/ethnoclans%20s****_04.html

OR

Subject:

Multi-Kulturell = Multi-Kriminell

Body:

Lese selbst:

http://www.npd.de/npd_info/meldungen/2005/***.html



The TR/Spam.Sober.Q searches for email addresses into the files with the following extensions:

.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml

Email addresses, that contain one of the following text strings, won't be used by the trojan in order to send its spam:

dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Technical DetailsTR/Spam.Sober.Q is packed with UPX runtime packer and its filesize is 53.801 bytes. It is detected by previous versions of AVIRA with a generic signature of Worm/Sober.gen.

If TR/Spam.Sober.Q is executed, it creates the following files:

- <%windir%>\Help\Help\services.exe
- <%windir%>\Help\Help\csrss.exe
- <%windir%>\Help\Help\smss.exe
- <%windir%>\Help\Help\sacri1.ggg (email addresses)
- <%windir%>\Help\Help\sacri2.ggg (email addresses)
- <%windir%>\Help\Help\sacri3.ggg (email addresses)
- <%windir%>\Help\Help\voner1.von (email addresses)
- <%windir%>\Help\Help\voner2.von (email addresses)
- <%windir%>\Help\Help\voner3.von (email addresses)
- <%windir%>\Help\Help\fastso.ber (0 bytes)
- <%sysDIR%>\Spammer.ReadMe

The following entries are created in the Windows Registry:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
" WinStart"="%WinDIR%\\Connection Wizard\\Status\\services.exe"

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
" WinStart"="%WinDIR%\\Connection Wizard\\Status\\services.exe"

TR/Spam.Sober.Q is able to terminate different processes from antivirus software, which contain one of the following text strings within the process name:

microsoftanti
gcas
gcip
giantanti
inet.upd
nod32kui
nod32
fxsob
s-t-i-n-g
hijack
sober
mrt.exe
asw*.tmp
說明撰寫者 Crony Walker 開啟 2004年6月15日星期二

返回 . . . .

© 2013 Avira Operations GmbH & Co. KG. 保留所有權利.

我的帳戶

https:// 為了你的安全,此視窗已加密。