De worm komt binnen als een mailtje dat afkomstig lijkt van de FBI. Het virusmailtje heeft als afzender [email protected], [email protected] of [email protected] Het bericht is herkenbaar aan de tekst: ´We have logged your ip-address on more than 30 illegal Websites. Important: Please answer your questions! The list of questions are attached´.

Wie echter de bijlage opent, wordt het slachtoffer van de worm. Als het virus actief wordt, gaat het op de harde schijf op zoek naar e-mailadressen waarnaar het zichzelf kan doorsturen.

Ook antivirusbedrijven waarschuwen massaal voor deze worm die diverse namen heeft gekregen als Sober.Y, Sober.W en Sober.X. Bij de Common Malware Enumeration, een onlangs opgericht industrieplatform dat virusvarianten een nummer geeft, is het virus bekend als nummer 681.

Volgens antivirussoftwaremaker F-Secure is deze Sober-variant nu al de grootste virusuitbraak van dit jaar. Ook andere antivirusbedrijven signaleren grote hoeveelheden virusmailtjes. Messagelabs zegt er bijna 3 miljoen te hebben gesignaleerd. F-Secure heeft het ook over 'enkele miljoenen in de afgelopen uren'. Het Nederlandse Cleanport zegt dat deze Sober-worm in twaalf uur tijd is gegroeid tot 40 procent van het totale e-mailverkeer.

Het simpelweg updaten van je antivirussoftware heeft volgens het Sans Institute ook niet zo veel zin. "Antivirussoftwarebedrijven bieden geen betrouwbare oplossing tegen de huidige bedreigingen. Virussen als Sober veranderen namelijk om de paar uur en blijven zo de antivirusupdates een stap voor."

De nieuwe Sober-worm doet zich ook wel eens voor alsof het afkomstig is van de Amerikaanse CIA of de Duitse Bundeskriminalamt. Graham Cluley van Sophos verbaast zich overigens wel over de nieuwe Sober-worm. "Het lijkt zo'n bizarre actie voor virusschrijvers om het gevecht met de FBI of de CIA aan te gaan." Bron: Techworld