De verwachting is dat weer veel gebruikers getroffen zullen worden. De worm is namelijk in staat antivirusprocessen te onderbreken en ongemerkt computers te infecteren.

De worm zit in een zip-bestand dat per mail wordt verstuurd. Dit bestand heeft verschillende namen, zoals pword_change.zip, screen_photo.zip en privat-foto.zip. De e-mail is in het Engels of in het Duits geschreven.

Vorig jaar werd de Sober-worm gebruikt om spam te versturen. Gebruikers die waren besmet met Sober.G werden het slachtoffer van een Duitse, extreemrechtse spamrun. Omdat de broncode van het virus nooit openbaar is gemaakt, is het waarschijnlijk dat de verschillende varianten afkomstig zijn van dezelfde maker(s).

Snel herkend

De nieuwe Sober-variant werd pro-actief herkend. Jeroen Oostendorp, technology officer bij CleanPort, kan het belang van preventief scannen niet vaak genoeg herhalen. "Uit de opmars van deze nieuwe Sober-variant blijkt wederom waarom het noodzakelijk is om virusprotectie realtime en fullcontinu uit te voeren."

De worm heeft verschillende aliassen, waaronder Sober.S, Sober.Y en W32.Sober.Q. McAfee en F-Secure hebben reeds een removal tool gepubliceerd.