Virus Description - W32/Sober.B

W32/Sober.B

Name	W32/Sober.B
Aliases	W32/Sober@MM, W32.Sober@mm, W32/Sober-B, sober, sober.b
Discovered on	December 18, 2003

Virus Information - W32/Sober.B:

W32/Sober.B is a mass mailing worm. This worm will infect Windows systems. This worm spreads through email.

The subject of the infected mail will be any one of the following;

George W. Bush plans new wars
George W. Bush wants a new war
Have you been hacked?
Hihi, ich war auf deinem Computer
Ich habe Sie Ge-hackt You Got Hacked
Der Kannibale von Rotenburg
Du bist Ge-Hackt worden

The infected attachment will be any one of the following;

allfiles.cmd
Daten-Text.pif
DateiList.pif
Server.com
yourlist.pif
www.gwbush-new-wars.com
www.hcket-user-pcs.com

The body of the infected mail will be either in english or german languages. The body of the mail in english will be any one of the following;

1) Bush plans new wars against China, Cuba and Iran. Please visit our website and vote against this very crazy war(s). More information:

2) by me,, idiot! haha, very nice files on your system. i've made a website. i show your files on this website hahaha visit:

3) YA of me a great many files on your pc and very very interesting what would say the police?!,,, i don't know .-] i've files of you see:

The body of the mail in german will be any one of the following;

1) Nette, ungewohnliche und ausgefallene Sachen hast du da auf deinem Computer! (Was soll man dazu noch sagen)

2) Ich uberlege mir schon die ganze Zeit, ob ich ein paar deiner Dateien im Internet auf einer Web-Seite stellen soll! Weil, genug Stoff habe ich ja von Dir! (Muhahahah) Du fragst dich sicherlich, was ich alles von Dir habe,,,, siehe selbst

3) Was wohl gewisse Behorden dazu sagen wurden? **hust* Ich wei? nicht so recht, soll ich dich bestechen oder die Behorden einschalten ??? Du kannst jetzt ruhig Deine Dateien loschen oder sonst was, aber nutzen wird es Dir wenig, weil ich sie auch habe! Wenn du meinst das ich Mist rede, dann sehe Dir die Datei-Liste an. Dann siehst du, was ich alles von Dir habe. Na ja,, ich melde mich nachste Woche noch einmal!

4) Entschuldigen Sie bitte diese uberaus deutliche Betreffzeile! Aber ein neuer Dialer macht mit dieser Uberschrift unzahlige User zu Opfern. Die User werden mit dem versprechen gelockt, sich das usserts abscheuliche Tat- Video anzuschauen zu durfen. Stattdessen aber, installiert sich ein sehr teurer Dialer und ein Virus auf dem PC. Da aber unzahlige User auf diese Finte hereinfallen, haben wir mit Zustimmung des Bundeskriminalamtes BKA, eine Web-Seite erstellt, wo einige dieser ausserts brisanten Fotos und Videos einzusehen sind, um den Leuten die Neugier zu nehmen. Naturlich sind diese Videos und Fotos leicht zensiert worden. Um auf diesen Web-Server zu gelangen, mussen Sie zuerst bestatigen, dass Sie das 18 Lebensjahr bereits vollendet haben. Wir bitten sie ausdrucklichst, keine Kinder diese Seite einsehen zu lassen. I.A.: Dieter Braun ----- MultiMedia AG Munchen ia. BKA (ORG. Rund-Mail V6.02) ----- Geschaftsfuhrer: Michael Leuningen (089/8941440) FAX: 089/89414434

Upon execution of the infected attachment, it displays a dialog box with an error message "Header is missing.". After this, the worm creates two similar copies of itself in the Windows\System folder. The worm modifies registry at the following location to load itself during each startup.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

The worm scans the following extensions and collects the available email addresses from the infected system.

.htt .rtf .doc .xls .ini .mdb .txt .htm .html .wab .pst .fdb .asp .shtml .shtm .dbx .hlp .mht
.nfo .cfg .ldb .eml .abc .ldif .nab .adp .mdw .mda .mde .ade .sln .dsw .dsp .vap .php .nsf

The worm stores all the collected email addresses in a file called mscolmon.ocx, under the Windows\System folder. After this the worm mails itself to these addresses using its own SMTP engine.