Przedstawiciele firmy Kaspersky poinformowali, że nowe wersje Sobera to mutacje robaka Sober.S - w tej chwili w Sieci krąży kilka jego odmian, które różnią się głównie tytułem i treścią wiadomości, do której załączony jest plik zawierający robaka.

Jak tłumaczą eksperci, zainfekowaną wiadomość najłatwiej rozpoznać po nazwie załączonego do niej pliku - Sober zwykle ukrywa się w plikach Exceltab-packed_list.exe, Liste.zip, Reg-List-Dat_Packer2.exe, reg_text.zip, Word-Text.zip, Word-Text_packedList.exe oraz Word-Text_packedList.zip.

Podczas próby uruchomienia załączonego pliku wyświetlony zostanie komunikat o błędzie - "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error". Mimo to robak uaktywni się - Sober stworzy na dysku swoją kopię i doda do Rejestru wpis, dzięki któremu plik ten będzie uruchamiany przy każdym starcie systemu Windows. Następnie robak zaczyna masowo rozsyłać wiadomości pocztowe zawierające zainfekowane załączniki.

Zalecanymi przez ekspertów środkami zapobiegawczymi są (jak zwykle): natychmiastowe kasowanie wszelkich podejrzanych e-maili oraz uaktualnienie oprogramowania antywirusowego.