Az F-Secure arra figyelmeztet, hogy a héten megjelent új Sober-variáns rendkívül gyorsan és széles körben terjed, emiatt a biztonsági cég a legmagasabb szintű riadókészültséget rendelte el. Az elmúlt órákban több millió Sober.Y-nal fertőzött e-mailt detektáltak az internetszolgáltatók. Mikko Hyppönen kutatási igazgató szerint ez az idei év legnagyobb víruskitörése.

A Sober.Y e-mail féreg azért tud ennyire sikeresen terjedni, mert az FBI, a CIA vagy a német Bundeskriminalant (BKA) nevében kiküldött álfigyelmeztetésekhez csatoltan érkezik a felhasználók postafiókjaiba. Az angol nyelvű üzenetek arra figyelmeztetnek, hogy a hatóságok a címzett IP-címét számos illegális weboldalon megtalálták, és ezért a csatolmányban feltett kérdésekre várnak választ. A melléklet azonban nem kérdéseket, hanem egy férget tartalmaz. Ha a felhasználó kicsomagolja és lefuttatja azt, akkor először egy felugró ablak nyílik meg, amelyben egy álvírusirtó program arról tájékoztat, hogy a fájl sem vírust, sem kémprogramot nem tartalmaz, ám közben a Sober féreg telepíti magát.

Az első Sober férget 2003 októberében, több mint két éve fedezték fel. Az F-Secure kutatói szerint mind a 25 variánst ugyanaz a német vírusíró készítette. A Sober néhány változata neonáci üzeneteket küld, a legújabb kártevő azonban nem ezt teszi. Abban viszont mindegyik Sober-variáns megegyezik, hogy a német e-mail címekre német nyelvű üzeneteket, más e-mail címekre angol nyelvű üzenteket küld. Napjaink elterjedt vírusaival szemben a Sober.Y esetében nem egyértelmű az anyagi indíttatás.

A Sober gondoskodik róla, hogy működését a korábbi féregváltozatok ne akadályozhassák, ezért a fertőzött gépen néhány speciális nevű fájlt hoz létre a \Windows\system32\ könyvtárban. A féreg megvizsgálja a fertőzött gép meghajtóit, e-mail címek után kutatva, majd a talált címekre továbbküldi önmagát. Az összegyűjtött címekből a féreg figyelmen kívül hagyja azokat, amelyek IT-biztonsági cégek, különböző médiumok vagy a hatóságok címei lehetnek.