„A Sober.Y fertőzési számai egyszerűen hatalmasak. Ez az év legnagyobb víruskitörése – legalábbis eddig!” – kommentálta az eseményeket a vállalat webblogján Mikko Hyppönen, az F-Secure Corporation kutatási igazgatója.
A Sober.Y e-mail-féreg azért tud ennyire sikeresen terjedni, mert az FBI, a CIA vagy a German Bundeskriminalant (BKA) nevében kiküldött álfigyelmeztetésekhez csatoltan érkezik a felhasználók postafiókjaiba.
Ezek az e-mailek tömörített csatolmányokkal érkeznek. Ha a felhasználó kicsomagolja és lefuttatja a férget, akkor először egy felugró ablak nyílik meg, amelyben egy ál-antivírusprogram arról tájékoztat, hogy a fájl sem vírust, sem kémprogramot nem tartalmaz. Mindeközben a Sober-féreg a rendszerbe telepíti magát.
Sober-történelem
Az első Sober-férget 2003 októberében, több mint két éve fedezték fel. Az F-Secure kutatói szerint mind a 25 variánst ugyanaz a – valahol Németországban ténykedő – személy készítette. A Sober néhány változata neonáci üzeneteket küld, a legújabb kártevő azonban nem ezt teszi. Abban viszont mindegyik Sober-variáns megegyezik, hogy a német e-mail címekre német nyelvű üzeneteket, más e-mail címekre angol nyelvű üzenteket küld. Napjaink elterjedt vírusaival szemben a Sober.Y esetében nem egyértelmű az anyagi indíttatás.
A Sober gondoskodik róla, hogy működését a korábbi féregváltozatok ne akadályozhassák, ezért a fertőzött gépen néhány speciális nevű fájlt hoz létre a Windowssystem32 könyvtárban. A féreg megvizsgálja a fertőzött gép meghajtóit e-mail címek után kutatva, majd a talált címekre továbbküldi önmagát. Az összegyűjtött címekből a féreg figyelmen kívül hagyja azokat, amelyek IT-biztonsági cégek, különböző médiumok vagy a hatóságok címei lehetnek.