Van Worm.Win32.Sober zijn sinds vannacht verschillende varianten gesignaleerd. De worm, die verpakt zit in een zip- of exe-bestand, verspreidt zichzelf via een eigen smtp-engine en zit vast aan een Engelse of Duitse e-mail. Het zip- of exe-bestand, dat namen heeft als Liste, Word-Text en Exceltab-packed-list, is alleen schadelijk als ontvangers erop klikken.

Is de worm eenmaal actief, dan kopieert hij zichzelf — na het weergeven van een foutmelding — naar de systeemmap. Ook worden er meerdere sleutels in het Windows-register aangemaakt, zodat de worm bij elke opstart wordt geactiveerd.

Vorig jaar werd de Sober-worm nog gebruikt om spam te versturen. Gebruikers die waren besmet met Sober.G werden het slachtoffer van een Duitse, extreemrechtse spamrun. Omdat de broncode van het virus nooit openbaar is gemaakt, is het waarschijnlijk dat de verschillende varianten afkomstig zijn van dezelfde maker(s).

De meeste beveiligingsbedrijven hebben inmiddels een update voor hun antivirussoftware uitgebracht.