Het virus verspreidt zich via e-mail. "Op dit moment gaat de verspreiding erg snel", meldt de Waarschuwingsdienst van de overheid maandagavond. Ook de redactie van Webwereld ontvangt veel exemplaren van het virus.

Het virus zit een zip-bestand dat per mail wordt verstuurd. Wie het attachment opent, raakt besmet. Het nieuwe Sober-virus stuurt zichzelf door naar e-mailadressen die het op de geïnfecteerde computer aantreft.

De bijlage heeft verschillende namen, waaronder LOL.zip, Fifa_Info-Text.zip en autoemail-text.zip. De inhoud van de mails wisselt eveneens. In een van de berichten wordt de ontvanger verblijd met kaartjes voor het WK voetbal van 2006 in Duitsland. "Verdere details vindt u in het bijgevoegde bestand."

De berichten zijn in het Engels of in het Duits gesteld. Dat laatste lijkt er op te wijzen dat de maker uit een Duitstalig land komt. Bij eerdere Sober-varianten spraken virusbestrijders ook al het vermoeden uit dat het virus uit Duitsland afkomstig is.

Duitse spamrun

De nieuwe Sober-worm is de zoveelste variant van een virus dat voor het eerst in het najaar van 2003 opdook. Om de hoeveelste variant het gaat, is niet helemaal duidelijk. De ene virusbestrijder noemt de nieuwe variant Sober.P, andere antivirusbedrijven gebruiken de achtervoegsels S, N en O.

Vorig jaar werd het Sober-virus gebruikt om spam te versturen. Computers die waren besmet met het Sober.G-virus, werden in juni 2004 misbruikt voor een Duitse, extreemrechtse spamrun. Omdat de broncode van het virus nooit openbaar is gemaakt, is het waarschijnlijk dat de verschillende varianten afkomstig zijn van dezelfde maker(s).

Twee weken geleden dook er ook al een nieuwe versie van het Sober-virus op. Virusbestrijders gaan ervan uit dat ook dat virus was bedoeld om spammers te helpen. Geïnfecteerde computers stuurden de e-mailadressen van het slachtoffer naar de anonieme maker van het virus. Aldus opgebouwde adressenbestanden kunnen worden verkocht aan spammers.

Meer informatie over de nieuwe Sober-variant is onder meer te vinden bij de Waarschuwingsdienst, McAfee, Sophos en F-Secure. Op het moment van schrijven hadden sommige antivirusbedrijven nog geen volledige beschrijving van het virus online staan.