Khác với loại Flea phát hiện tuần trước, Sober giấu mã của nó trong e-mail HTML. Người sử dụng Microsoft Outlooook nếu mở file này thì lập tức sẽ kích hoạt virus.
Khi file đính kèm e-mail được mở, virus sẽ phát tán vào hệ thống dưới dạng 'drv.exe', 'similare.exe' hoặc 'systemchk.exe'. Sau đó, Sober tự sao chép vào bất cứ địa chỉ thư nào mà nó tìm được thông qua công cụ SMTP riêng. Những thư điện tử gửi đi từ hệ thống bị lây nhiễm là thư giả, nhằm làm cho việc dò tìm nguồn virus khó khăn hơn.
Tên các file đính kèm mang virus rất khác nhau, có thể là .bat, .com, .exe, .pif, or .scr…Sober được viết bằng ngôn ngữ Microsoft Visual Basic và được nén bằng UPX. Khi xuất hiện lần đầu tiên trong hệ thống, Sober sẽ làm hiển thị một thông điệp báo lỗi giả: "File not complete!".
Graham Cluley, chuyên gia của Sophos, cho biết mặc dù mới được phát hiện vài hôm nay, nhưng đã có một số thông báo lây nhiễm về Sober, còn hãng an ninh Phần Lan F-Secure đã xếp mức độ nguy cơ của loại sâu mới lên ngang hàng với Flea.
Phan Khương (theo VNUNet)