Threat Encyclopedia

Selected viruses, spyware, and other threats: sorted alphabetically

Win32/Sober.G

Win32/Sober.G is a worm spreading as an e-mail attachment. It is written in Visual Basic. The body is compressed, its size is approximately 49 kB.

Note: In what follows the %windir% string is used instead of the actual name of the Windows installation directory. The latter may differ on a case by case basis. The subdirectory System or System32 placed in %windir% has a name %system%

Upon execution the worm copies itself in the %system% folder, using a random filename created by joining some of the following strings:

sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32

It creates a random subkey under the HKLM\Software\Microsoft\Windows\CurrentVersion\Run key. There, the following value is set: %system%\<filename>.exe %1, where <filename.exe> is the name of the worm in the %system% folder.

Win32/Sober.D harvests e-mail addresses for further spreading from files on the infected computer, that have one of these extensions:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

It avoids addresses containing one of the following strings:

-dav
.dial.
.kundenserver.
.ppp.
.q
.sul.t-
@from.
@gmetref
@smtp.
@www
announce
anyone
anywhere
clicks.
ftp.
gold-certs
law2
mailer-daemon
me@
members.
msdn.
mustermann@
nothing
office
password
reciver@
redaktion
refer.
secure
smtp-
somebody
someone
sql.
subscribe
support
track.
user@
variabel
whatever@
whoever@
www.
you@
yourname

The following files are created in the %system% folder:

bcegfds.lll
zhcarxxi.vvx
cvqaikxt.apk
winzweier.dats
wincheck32.dats
winexpoder.dats
xdatxzap.zxp
datsobex.wwr

They are used for storing harvested e-mail addresses and other information the worm uses for spreading.

E-mail messages sent by Win32/Sober.G can either be in English or in German language.
German is chosen if the recipient's address contains "gmx." as a substring, or its domain part is ".de", ".ch", ".at" or ".li".
English is used otherwise.

German versions of the message

Subject of German messages is one of the following:

Achtung! gefahrlicher Virus
ESMTP Error
Falsche Mailzustellung
Fehler in Ihrer E-Mail
Hi, sei vorsichtig!
Ihr neuer Account
Ihre E-Mail war fehlerhaft
Information von
Mail_Fehler
Neue Account Daten
Rechnung
Sie haben nicht gezahlt
Ungltige Variablen in ihrer E-Mail
Verbindung wurde getrennt
lol, wat'n los ey?
Shon gehort?
Die Tools!
Dein Zeug's!
Hier fur dich ^^
Bestellungs Bestatigung
Lieferungs-Bestatigung
Ok, hier ist mein
Ich habe mich in dich verliebt!

Win32/Sober.G can produce many different message bodies. They contain some of the following sentences:

### Peters Multi- Media GmbH
--- Mail-To: Service@
-Tarif bei uns gewechselt haben, mØssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist.
Achte auf die Infos im Anhang!!!
Alle Informationen bezØglich diesem Tarifes finden Sie im mitgesendetem Dokument.
Anti-Virus Service: Es konnte kein Virus erkannt werden
Auto-ReMail.System#: [
Benutzer-Daten
Da Du mir dein Foto geschickt hast, hier nun ein Bild von mir!
Da Sie uns Ihre Personlichen Daten mitgeteilt haben, ist das Passwort Ihr Geburts-Datum!
Da Sie vor einiger Zeit ihren
Da unsere Datenbank von Hackern befallen wurde, mussten wir leider eine ¦nderung bezaglich Ihrer Account Daten vornehmen.
Das diese E-Mail automatisch generiert wurde, darf aus Datenschutzrechtlichen GrØnden die vollstandige E-Mail nur angehangt werden.
Der ist wirklich gefahrlich!
Diese E-Mail wurde automatisch erzeugt.
Diese Information ist Passwort geschutzt.
Ende der Mitteilung
Folgende Fehler sind aufgetreten:
Guten Tag!
Guten Tag,
Haste D.e.i.n.e. Tage oder so?;) Ware mal sehr nett von dir, wenn Du mal was von dir horen laaaasssssen tutest(tut tut)!
Hey alles klar? Hier sind die Tools die du haben wolltest!
Hi... ich wollte dir schnell mal mitteilen, dass sich ein gefahrlicher Virus/Trojaner Uber Internet Seiten verbreitet.
Hochachtungsvoll
Ihre neuen Account Daten finden Sie im beigefugten Dokument.
Im I-Net unter: http://www.
Ja, leider kann ich es nicht ñndern aber es ist so.
Kundeninfo
Leider mussen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden konnen.
Man hort und sieht nikkes mehr von Dir!
Viel Spa- damit ;)
Viel Spass mit unserem Angebot
Vielen Dank fur Ihr Verstandnis.
Weitere Informationen befinden sich im Anhang dieser Mail
Weitere Informationen erhalten Sie unter http://www.
Wenn Du genauso fuhlst, dann schau dir bitte den Anhang an.
Wenn nicht, dann losche ungeoffnet diese Mail! Es ware mir sonst zu peinlich .....
Wir bitten dies zu berucksichtigen.
bis spaeeeter mal

English versions of the message

In English e-mails, Subject is picked from these alternatives:

Confirmation
Delivery failure notice
Details
Faulty mail delivery
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
Mail delivery failed
Mailing Error
Oh God it's
Registration confirmation
Your Password
Your mail account
damn!
hey dude!
hi there
mail delivery status
wazzup!!!
yeah dude :P
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that ?

Message bodies are constructed using the following sentences:

mail is attached.
*** Error: llegal signs in Mail-Routing
*** Mail-Server: ESMTP V
*** Partial message is available!
++++ MailTo: postmaster
++++ User-Service: http://www.
+-+-+ http://www.
- AntiVirus Service
- under: http://www.
Anybody use your accounts and (or) passwords!
Auto-ReMail.System#: [
Error:
For further details see the attachment.
Giving_up_on_
I was surprised, too! :-(??
I've got your mail, but its came on my mail address???
Information about -
Life's a Bitch
MAILBOX NOT FOUND
Protected message is attached.
Remote_host_said:
Smiling Like a Killer
This e-mail was generated automatically.
This_account_has_been_
User-info
Who could suspect something like that? shit
Your password was changed successfully.
_Requested_action_not_taken
_delivery_error
_does_not_like_
_failed_after_I_sent_the_message.
cya!
excuse for my bad english, but I'm a Dutchman
follow the steps in this article.
hey dude!#
hey man! you'll not belive me what i've found on your computer!^^ ... thats funny dude!
i'm very very sorry, anybody have sent your mail to my account address.
i've read this mail ,,, sorry about that
ive found a shity virus on my pc. yo must check your pc!
mailbox_unavailable
nice pic u send me! here is mine!
sorry for my bad english, I am a Swede!
well cya soon
well here is ur stuff! good luck!
yo wazzup :P

E-mail messages contain Win32/Sober.G as an attachment. It's either an executable file, or a ZIP archive. Name of the attachment is one of the following:

Benutzer-Daten
Hilfe
Info
Information
Jokes
Kundeninfo
Service
Tools
User-Info
article
check_this
daten
hallo
more_infos
oh_no
ohyeah
p_message
photo
private
shock
stuff
thatshard
your_docs
yourmail

The name is sometimes extended by a random number and it can have several extensions.

Win32/Sober.G contains the following German text and writes it to a file called NoSpam.readme:

Hallo liebe Antivirenhersteller und Co.,
Ich bin kein Spammer und ich verkaufe auch nicht meine eroberten Rechner an Spammer oder sonstiges!
Ich bin auch in keiner Hacker Szene zu gange, nichts dergleichen!
Und mein Alter liegt auch nicht zwischen 14 - 20. Ich bin einige Jahre über 30.
Wollte ich nur mal Klargestellt haben!

In diesem Sinne:
Odin alias Anon
---------------

NOD32 detects the worm Win32/Sober.G using extended heuristics without upgrading. The detection of Win32/Sober.G using sample is added since version 1.761.