1. Computing & Technology
About.com
Antivirus Software

Sober.F worm

Email characteristics

From , former About.com Guide

See More About:
The Sober.F email is composed as follows (using either German or English language)

From:

    account
    admin
    Administrator
    AutoMailer
    Error_Info
    Fehler-Info
    Home
    Info
    Information
    Kundenservice
    Liste
    Passwort
    Register
    RobotMailer
    Schwarze-Liste
    Service
    User-info
    Webmaster

(or any username from email addresses collected on infected system)

combined with one of the following:

    @abuse.de
    @freenet.de
    @gmx.de
    @gmx.net
    @lycos.de
    @web.de
    @yahoo.com
    @yahoo.de

Subject:

    Bad Gateway
    Besttigung
    Confirmation Required
    Connection failed
    damn!
    Datenbank-Fehler
    Details
    Einzelheiten
    Faulty mail delivery
    Fehler
    Fehler in E-Mail
    Fehlerhafte Mailzustellung
    Hallo Du!
    Hallo!
    Hey
    Hey Du
    hey you
    Hi!
    Hi, Ich bin's
    Hi, it's me
    Ich bin es .-)
    Ihr neues Passwort
    Ihr Passwort
    Illegal signs in Mail-Routing
    Illegale Zeichen in Mail-Routing
    Info
    Information
    Invalid mail sentence length
    Mail delivery failed
    Mail Delivery failure
    mail delivery status
    Mail Error
    Mailzustellung fehlgeschlagen
    Message Error
    Na, berrascht?!
    Oh my God
    Registrierungs-Besttigung
    Ung
    Verbindung fehlgeschlagen
    Verdammt
    Warning!
    Warnung!
    Well, surprised?
    Your document

followed by:

    Message-ID: <%random%.qmail>

where %random% indicates randomly generated characters

Body:

  • I was surprised, too! :-(
    Who could suspect something like that?
  • All OK :)
    see, what i've found!
  • hi its me
    i've found a shity virus on my pc. check your pc, too!
    follow the steps in this article.
    bye
  • I 've told you!:-) sometime I grab your passwords!
  • I hope you accept the result!
    Follow the instructions to read the message.
    Please read the document
  • Registration confirmation
    Your Password
    Your mail account
    Your password was changed successfully.
    Protected message is attached.
    ++++ Service: http://www.<randomly choosen domain>
    ++++ Mail To: User-info
  • *** Auto Mail Delivery System ***
    67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_or_discontinued_[#102]._-_mta134.mail.dcn.com
    ** End of Transmission
    The original message is a separate attachment.
    --- Web: http://www.<randomly choosen domain>
    --- Mail To: User-Hilfe
  • Read the attachment for details.
    Bad Gateway: The message has been attached.
    +++ A service of <randomy choosen domain>
    +++ http://www.<randomly choosen domain>
    +++ Mail: home
  • The message has been attached.
  • Database #Error
    -- Partial message is available!
    -- Error: llegal signs in Mail-Routing
    -- Mail Server: ESMTP VX32.9 Version Betha Alpha
  • Anybody use your accounts!
    For further details see the attachment.
  • I have received your document. The corrected document is attached.
    greets
  • Ich war auch ein wenig
    berrascht!
    Wer konnte so etwas ahnen!? Lese selbst
    Oh-Mann
  • Alles klaro bei dir?
    Schau mal was Ich gefunden habe!
  • Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
    Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
    Bye
  • Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwrter rauszubekommen!!!
    Passwoerter.txt
  • Details entnehmen Sie bitte dem Attachment
    Nhere Informationen befinden sich im Anhang.
  • *** Auto Mail Delivery System ***
    Ihre E-Mail konnte nicht gesendet oder empfangen werden.
    Bitte berpr fen Sie nochmals diese E-Mail auf mgliche Fehlerquellen.
    attach: AMD-System.txt
    * End Transmission
    Virenschutz
    --- Web: http://www.<randomly choosen domain>
    --- Mail To: User-Hilfe
  • Passwort und Benutzername wurde erfolgreich gendert
    Ihre Benutzernamen und Passwrter befinden sich im Anhang dieser E-Mail
    ++++ Im www erreichbar unter: http://www.<randomly choosen domain>
    ++++ E-Mail: KundenInfo
  • Wegen eines Datenbank- Fehlers knnte es mglicherweise zu einem Verlust
    Ihrer persnlichen Daten wie Kennwrter gekommen sein.
    Wenn Sie Unregelmigkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
    Vielen Dank fr Ihr Verstndnis
    +++ Ein Service von
    +++ http://www.<randomly choosen domain>
    +++ E-Mail: Kundenservice
  • Internet Provider Abuse:
    Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
    Bitte beachten Sie folgende Liste:

Attachment: (either .pif or .zip)

    %random%-attach
    %random%-attachment
    abuse-liste
    AMD-System.txt
    anitv_text
    Anleitung
    AntiVirus-Text
    attach-message
    Benutzer-Daten
    Block-Lists
    corrected_text-file
    Datenbank-Fehler
    Dokument
    instructions
    KurzText
    messagedoc
    Oh-Mann
    pass-message
    Passwoerter.txt
    schwarze-listen
    text
    Textdocument
    Text-Inhalt
    your_article
    your_passwords

Previous page: Sober.F action on infection

See also:

©2012 About.com. All rights reserved.

A part of The New York Times Company.