W32/Sober-B

Please follow the instructions for removing worms.

Please read the instructions for removing W32/Sober-B.

W32/Sober-B is worm that spreads via email, network shares and filesharing networks.

When first executed the worm displays a bogus error message 'Header corrupt'.

W32/Sober-B harvests email addresses by scanning the filesystem for files with one of the following extensions:
HTT, RTF, DOC, XLS, INI, MDB, TXT, HTM, HTML, WAB, PST, FDB, CFG, LDB, EML, ABC, LDIF, NAB, ADP, MDW, MDA, MDE, ADE, SLN, DSW, DSP, VAP, PHP, NSF, ASP, SHTML, SHTM, DBX, HLP, MHT, NFO

The harvested addresses are stored in the log file mscolmon.ocx in the Windows system folder. A file Humgly.lkur is created in the Windows system folder. These files are not malicious and can be deleted.

The worm may arrive in an email that is written in either English or German.

For the German email the subject line, message text and attachment filename are chosen randomly from the following selection:

Subject line:
Hihi, ich war auf deinem Computer
Du bist Ge-Hackt worden
Ich habe Sie Ge-hackt
Der Kannibale von Rotenburg

Message text:
Nette, ungewöhnliche und ausgefallene Sachen hast du da
auf deinem Computer! (Was soll man dazu noch sagen)
Ich überlege mir schon die ganze Zeit, ob ich ein paar deiner Dateien
im Internet auf einer Web-Seite stellen soll!
Weil, genug Stoff habe ich ja von Dir! (Muhahahah)
Du fragst dich sicherlich, was ich alles von Dir habe,,,, siehe selbst

Was wohl gewisse Behörden dazu sagen würden? **hust*
Ich weiss nicht so recht, soll ich dich bestechen oder
die Behörden einschalten ???
Du kannst jetzt ruhig Deine Dateien löschen oder sonst was, aber
nützen wird es Dir wenig, weil ich sie auch habe!
Wenn du meinst das ich Mist rede, dann sehe Dir die Datei-Liste an.
Dann siehst du, was ich alles von Dir habe.
Na ja,, ich melde mich nächste Woche noch einmal!

Entschuldigen Sie bitte diese überaus deutliche Betreffzeile!
Aber ein neuer Dialer macht mit dieser Überschrift unzählige User zu Opfern.
Die User werden mit dem versprechen gelockt, sich das
äusserts abscheuliche Tat- Video anzuschauen zu d
Stattdessen aber, installiert sich ein sehr teurer Dialer und ein
Virus auf dem PC.
Da aber unzählige User auf diese Finte hereinfallen, haben wir mit
Zustimmung des Bundeskriminalamtes BKA, eine Web-Seite erstellt,
wo einige dieser äusserts brisanten Fotos und Videos
einzusehen sind, um den Leuten die Neugier zu nehmen.
natürlich sind diese Videos und Fotos leicht zensiert worden.
Um auf diesen Web-Server zu gelangen, müssen Sie zuerst bestätigen,
dass Sie das 18 Lebensjahr bereits vollendet haben.
Wir bitten sie ausdrücklichst, keine Kinder diese Seite einsehen zu lassen.
I.A.: Dieter Braun
----- MultiMedia AG München ia. BKA (ORG. Rund-Mail V6.02)
Geschaeftsfuehere: Michael Leuningen (089/8941440) FAX: 089/89414434

Attached file:
DateiList.pif
Daten-Text.pif
Server.com

For the English email the worm selects one of the following possibilities:

Subject line:
George W. Bush wants a new war
George W. Bush plans new wars
You Got Hacked
Have you been hacked?

Message text:
Bush plans new wars against China, Cuba and Iran.
Please visit our website and vote against this very crazy war(s).
More information:

by me,, idiot!
haha, very nice files on your system.
i've made a website. i show your files on this website hahaha
visit:

YA of me
a great many files on your pc and very very interesting
what would say the police?!,,, i don't know .-]
files of you
See:

Attached file:
www.gwbush-new-wars.com
www.hcket-user-pcs.com
allfiles.cmd
yourlist.pif

W32/Sober-B creates two copies of itself in the Windows system folder using random filenames and executes them.

In order to be started automatically when Windows boots up the worm sets a random registry entry below

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

pointing to one of the two files.

These two processes will re-spawn each other and restore the registry entry if one of them is killed or the registry entry deleted.

In addition, the worm will also copy itself to the Windows system folder using the fixed filename spooler.exe.

In order to spread via filesharing networks W32/Sober-B replaces files found in the shared folders of popular peer-to-peer networks with a copy of itself.