Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen


Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86



(W32/Sober.f@MM, WORM_SOBER.GEN, Worm/Sober.F, I-Worm/Sober.F, System error, Win32/Sober.F!Base64!Worm, Win32/Sober.F!Worm, W32/Sober.eml, Email-Worm.Win32.Sober.f, WORM_SOBER.AQ, W32.Sober.F@mm, Win32.Sober.F@mm, Parser error, Worm:Win32/Sober.F@mm, Win32/Sober.F@mm, Win32.HLLW.Sober.f, WORM_SOBER.F)

Added to the Dr.Web virus database: 2004-04-04

Virus description added:


Win32.HLLM.Generic.285 (also known as Sober.F) is a mass-mailing worm which affects computers running under Windows 95/98/Me/NT/2000/XP operating systems. The size of the program module of the worm, UPX-packed, is 42, 496 bytes.


Being executed, the worm drops its copy to Windows folder (in Windows 9x/ME/XP it’s C:\Windows, in Windows NT/2000 it’s C:\WINNT ). Its names is composed of the following strings

     sys, host, dir, expolrer, win, run, log, 32,  disc, crypt, data, diag, spool, service, sms, 
and the .exe extension.

It points to this copy in the registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run\
The value for this key is also chosen from the above mentioned list.

To the same Windows folder the worm drops several more files:

  • z m n d p g w f . k x x
  • b c e g f d s . l l l
  • z h c a r x x i . v v x
  • s y s t 3 2 w i n . d l l and spoofed_recips.ocx are used by the worm as a storage for stolen mail addresses
  • w i n s y s 3 2 x x . z z p and w i n h e x 3 2 x x . w r m are base64 – encoded copies of the worm
  • Führender russischer Hersteller von Virenschutzsoftware
    Entwickelt seit 1992
    Dr.Web wird in mehr als 200 Ländern genutzt
    Antivirus im SaaS-Modell seit 2007
    Technischer Support rund um die Uhr

    Dr.Web © Doctor Web
    2003 — 2022

    Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

    Doctor Web Deutschland GmbH. Bäderstraße 1
    76530 Baden-Baden