W32/Sober-K

Please follow the instructions for removing worms.

You will also need to edit the following registry entries, if they are present. Please read the warning about editing the registry.

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

Locate the HKEY_LOCAL_MACHINE entries:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

and remove any reference to any file you deleted.

Each user has a registry area named HKEY_USERS\[code number indicating user]\. For each user locate the entry:

HKU\[code number]\Software\Microsoft\Windows\
CurrentVersion\Run\

and remove any reference to any file you deleted.

Close the registry editor.

W32/Sober-K is a mass-mailing worm which sends itself to addresses harvested from the infected computer.

When first run, W32/Sober-K will open Notepad and display a body of text that starts:

Text#674327:
------------
--------------------- %WinZip CodeText Modul% is missing ------------------

W32/Sober-K will arrive by email as a ZIP attachment containing an executable file with a double extension. For example, doc_data-text.txt<SPACES>.pif

Subject lines include the following:

You visit illegal websites
Ihr Passwort wurde geaendert

Message body texts include the following:

Dear Sir/Madam,

we have logged your IP-address on more than 40 illegal Websites.

Important: Please answer our questions!
The list of questions are attached.

Yours faithfully,
M. John Stellford

--
## Diese E-Mail wurde automatisch generiert
## Aus Gruenden der Sicherheit, bekommen Sie diese E-Mail
## wenn Ihr aktuelles Benutzer- Passwort veraendert wurde

Ihr neues Passwort und weiter Informationen befinden sich im beigefuegten Dokument. W32/Sober-K is a mass-mailing worm which sends itself to addresses harvested from the infected computer.

When first run, W32/Sober-K will open Notepad and display a body of text that starts:

Text#674327:
------------
--------------------- %WinZip CodeText Modul% is missing ------------------

W32/Sober-K will copy itself to a folder named %WINDOWS%\MSAGENT\WIN32 with the filenames CSRSS.EXE, SMSS.EXE and WINLOGON.EXE. In order to run

automatically each time a user logs on, W32/Sober-K will continually set the following registry entries:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
winsystem.sys
%WINDOWS%\msagent\win32\smss.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_winsystem.sys
%WINDOWS%\msagent\win32\smss.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
winsystem.sys
%WINDOWS%\msagent\win32\smss.exe %1

W32/Sober-K also creates the following files:

%WINDOWS%\msagent\win32\datamx<number>.dat
%WINDOWS%\msagent\win32\zipedso<number>.ber
%WINDOWS%\msagent\win32\GoTo<number>.dat
%WINDOWS%\msagent\win32\runnowso.ber
%SYSTEM%\read.me
%SYSTEM%\nonrunso.ber
%SYSTEM%\stopruns.zhz

The READ.ME file contains the following text:

Ist eine weitere Test-Version. Läuft nur ein paar Tage!

In diesem Sinne:
Odin alias Anon

W32/Sober-K will attempt to terminate processes containing the following strings:

gcas, gcip, giantanti, msssrt

W32/Sober-K harvests email addresses from files with the following strings in their filenames:

pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx aero com coop edu gov museum name int net org pro info

Emails will have the following characteristics:

Subject Lines include the following:

You visit illegal websites
Your new Password
Mail_delivery_failed
Paris Hilton, pure!
Alert! New Sober Worm!
Ihr Passwort wurde geaendert
Ihr neues Passwort
EMail-Empfang fehlgeschlagen
Paris Hilton Nackt!
Paris Hilton SexVideos
Seitensprung gesucht?
Vorsicht! Neuer Sober Wurm!

Message body texts include the following:

Dear Sir/Madam,

we have logged your IP-address on more than 40 illegal Websites.

Important: Please answer our questions!
The list of questions are attached.

Yours faithfully,
M. John Stellford

--
More than 50 <WORD> Hilton Videos
More than 3000 Hilton picks

FREE Download until April, 2005

Make your own Download Account, it's free!
Further details are attached

Thanks & have fun ;)

--
Antivirus vendors are warning of a new variant of the <WORD> Sober virus discovered today that can delete the hard disk.

Download and read the zipped patch. It's very easy to install!
Thanks for your cooperation!

--
## Diese E-Mail wurde automatisch generiert
## Aus Gruenden der Sicherheit, bekommen Sie diese E-Mail
## wenn Ihr aktuelles Benutzer- Passwort veraendert wurde

Ihr neues Passwort und weiter Informationen befinden sich im beigefuegten Dokument.

--
- System Mail -

Diese an ihnen gerichtete E-Mail, wurde in einem falschen Format gesendet.
Der Betreff, Header und Text dieser Mail, wurde deshalb separat in einer Text-Datei gespeichert und gezippt.

Vielen Dank fuer Ihr Verstaendnis[System auto- mail]

--
Hallo,

wir hoffen das Ihnen die Betreffszeile unsere Mail genug sagt.
Der Jugendschutz verbietet uns leider mehr Auskunft ueber unser Angebot zu geben.

Informationen,,,, wie Sie sich bei uns anmelden koennen befinden sich im beigefuegten Dokument.
Natuerlich ist die Anmeldung Kostenlos!

Mehr als 2.5 Millionen registrierte Benutzer!!!
Da ist fuer jeden was dabei!

Auf Wiedersehen

--
Vielen Dank, dass Sie sich bei <NAME> registriert haben.

Der Betrag von ,- Euro ist erfolgreich auf unserem Konto eingegangen.

Passwort, Benutzername und weitere wichtige Informationen zu ihrem neuen Account befinden sich im angehefteten Dokument.

Hochachtungsvoll
Silvia Hochberger

--
Guten Tag,

mehr als 50 Videos,
Mehr als 1000 heisse Fotos
und mehr als 300 original Sounds von der kleinen Hilton ........ .

Alles frei zum Download, aber nur bis zum 01 April 2005 !!!

Weitere Details entnehmen Sie bitte dem vorliegendem Dokument.

Vielen Dank!

--
Wichtige Information!

Eine neue Sober-Variante verbreitet sich derzeit im Internet.
Wie seine Vorgaenger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.

Es wird deshalb empfohlen, das Patch-Tool auszufuehren um sich vor diesem Wurm zu schuetzen bzw. diesen wieder zu entfernen.

The attached file will have a ZIP extension and includes the following:

Formular.zip
zipped-mail.zip
<DOMAIN>PSW-Text.zip
zipped-text.zip
Register-Info.zip
Tool.zip
text.zip
register.zip
help-text.zip
indictment_cit<NUMBER>.zip

The ZIP file will contain an executable file with a double extension. For example, doc_data-text.txt<SPACES>.pif

The From address line will be faked, but will start with one of the following:

Service, Webmaster, Register, Hostmaster, Postmaster, police, Officer, Admin, Web, FBI, Security