Filesharing aspect
Sober.B also searches the victim's drive for shared folders of the popular filesharing applications Kazaa, EMule and EDonkey2000. If Sober.B discoveres these folders, it will overwrite the contents of the shared files with its own worm code, but keep the orginal file name and size attributes intact.
Email examples
Sober.B tries to trick users into believing the attached files are really websites, naming them such things as www.gwbush-new-wars.com or www.hcket-user-pcs.com. The worm may also send itself as a .PIF or .CMD file type. Sober.B will compose one of the following e-mail messages:
- Subject: George W. Bush plans new wars
or
Subject: George W. Bush wants a new war
Bush plans new wars against China, Cuba and Iran.
Please visit our website and vote against this very crazy war(s).
More information:
Attachment: www.gwbush-new-wars.com
----------------------
Subject: You Got Hacked
or
Subject: Have you been hacked?
by me,, idiot!
haha, very nice files on your system.
i've made a website. i show your files on this website hahaha
visit:
or
YA of me
a great many files on your pc and very very interesting
what would say the police?!,,, i don't know .-]
i've files of you
see:
And includes an attachment named one of the following:
www.hcket-user-pcs.com
yourlist.pif
allfiles.cmd
----------------------
Subject may be one of the following:
Hihi, ich war auf deinem Computer
Du bist Ge-Hackt worden
Ich habe Sie Ge-hackt
Der Kannibale von Rotenburg
Nette, ungewohnliche und ausgefallene Sachen hast du da
auf deinem Computer! (Was soll man dazu noch sagen)
----------------------
Ich uberlege mir schon die ganze Zeit, ob ich ein paar deiner Dateien
im Internet auf einer Web-Seite stellen soll!
Weil, genug Stoff habe ich ja von Dir! (Muhahahah)
Du fragst dich sicherlich, was ich alles von Dir habe,,,, siehe selbst
----------------------
Was wohl gewisse Behorden dazu sagen wurden? **hust*
Ich wei? nicht so recht, soll ich dich bestechen oder
die Behorden einschalten ???
Du kannst jetzt ruhig Deine Dateien loschen oder sonst was, aber nutzen wird es
Dir wenig, weil ich sie auch habe!
Wenn du meinst das ich Mist rede, dann sehe Dir die Datei-Liste an.
Dann siehst du, was ich alles von Dir habe.
Na ja,, ich melde mich nachste Woche noch einmal!
----------------------
Entschuldigen Sie bitte diese uberaus deutliche Betreffzeile!
Aber ein neuer Dialer macht mit dieser Uberschrift unzahlige User zu Opfern.
Die User werden mit dem versprechen gelockt, sich das
usserts abscheuliche Tat- Video anzuschauen zu durfen.
Stattdessen aber, installiert sich ein sehr teurer Dialer und ein Virus auf dem PC.
Da aber unzahlige User auf diese Finte hereinfallen, haben wir mit Zustimmung des
Bundeskriminalamtes BKA, eine Web-Seite erstellt, wo einige dieser ausserts brisanten Fotos und Videos
einzusehen sind, um den Leuten die Neugier zu nehmen.
Naturlich sind diese Videos und Fotos leicht zensiert worden.
Um auf diesen Web-Server zu gelangen, mussen Sie zuerst bestatigen, dass Sie das 18 Lebensjahr bereits vollendet haben.
Wir bitten sie ausdrucklichst, keine Kinder diese Seite einsehen zu lassen.
I.A.: Dieter Braun
----- MultiMedia AG Munchen ia. BKA (ORG. Rund-Mail V6.02)
----- Geschaftsfuhrer: Michael Leuningen (089/8941440) FAX: 089/89414434
The attachment will be named one of the following:
Daten-Text.pif
DateiList.pif
Server.com
Method of infection:
When Sober.B infects, it copies itself to the Windows\System folder as SPOOL.EXE and composes two other filenames from a set of internal text strings.
The following keys are modified to automatically launch one of the above files when the system is rebooted:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
To remove the worm, use updated antivirus software to detect the infected worm files, deleting those and reversing the registry edits.
Related articles
Sober.A worm
Sober.C
