Die neuen Sober-Modifikationen wurden als Datei-Anhänge per E-Mails versandt. Die Größe der angehängten Datei, welche den Wurm-Körper enthält, beträgt etwa 130 kb. Titel und Text der infizierten E-Mail variieren oder können ganz fehlen, doch die gefährliche Nachricht ist durch die eingeschränkte Namensgebung des Datei-Anhangs erkennbar. Folgende Benennungen werden vergeben:
· Exceltab-packed_List.exe
· Liste.zip
· Reg-List-Dat_Packer2.exe
· reg_text.zip
· Word-Text.zip
· Word-Text_packedList.exe
· Word-Text_packedList.zip
Die Schadprogramme verhalten sich wie sämtliche Vertreter der Sober-Familie: Aktiviert wird der Schadcode, indem der Anwender den Datei-Anhang öffnet. Nach dem Start erscheint auf dem Bildschirm die gefälschte Fehlermeldung: «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».
Anschließend kopiert sich der Wurm in das Windows-Systemverzeichnis und registriert sich im Schlüssel für den Autostart. Darüber hinaus erstellt er im Windows-Systemverzeichnis mehrere Kopien und Hilfsdateien mit verschiedenen Namen.
Zu ihrer Verbreitung scannen die Würmer das Dateisystem des befallenen Computers und versenden sich an alle aufgefundenen E-Mail-Adressen.
Kaspersky Lab warnt alle User vor diesen gefährlichen Schadprogrammen und empfiehlt höchste Vorsicht beim Umgang mit E-Mails.
Die Datenbanken von Kaspersky Lab wurden bereits um entsprechende Schutzmaßnahmen vor "Email-Worm.Win32.Sober".u, .v und .w ergänzt.