Kaspersky lab heeft drie nieuwe varianten van de Win32.Sober worm ontdekt. De nieuwe varianten hebben de namen Sober.u, Sober.v en Sober.w meegekregen.

Net als de originele Sober worm, worden de varianten ook per e-mail verstuurd. Dat blijkt uit het feit dat Kaspersky grote hoeveelheden e-mail wist te onderscheppen waarin de varianten als bijlage waren toegevoegd. Kaspersky denkt dat de grote hoeveelheid berichten verstuurd zijn middels mass-spamming.

In de e-mail berichten is de worm verstopt in een bijlage met een grote van ongeveer 130kb. De berichten hebben steeds een variabel onderwerp en het bericht verschilt ook steeds. De namen van de bijlages zijn echter steeds gelijk en te herkennen aan de volgende namen:

  • Exceltab-packed_List.exe
  • Liste.zip
  • Reg-List-Dat_Packer2.exe
  • reg_text.zip
  • Word-Text.zip
  • Word-Text_packedList.exe
  • Word-Text_packedList.zip

Het is opvallend dat de worm nog steeds zo actief is aangezien hij alleen geactiveerd wordt als de ontvanger de bijlage opent.
Als dat gedaan wordt verschijnt er een foutmelding met de tekst: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error"

Vervolgens nestelt de worm zich in de Windows system directory en wordt er een registersleutel aangemaakt, zodat de worm opgestart wordt als de computer opnieuw aangezet wordt.
Uiteraard geldt hier ook weer de bekende waarschuwing om verdachte bijlages niet te openen.