Eset anunció la aparición de cuatro nuevos gusanos de la familia Sober reproduciéndose por correo electrónico. Esto se produce mientras se realizan importantes eventos de seguridad informática en Washington (Estados Unidos) y en China.
Como es costumbre dentro de esta familia, los mensajes pueden ser en alemán o en ingles, dependiendo de la dirección de correo electrónico a donde se envía. El malware analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, toma la decisión de que versión idiomática del mensaje enviar.
Los asuntos de los mensajes varían de acuerdo a la versión; en inglés los mismos son Your email y Thanks for your registration, mientras que en alemán son Hi, Ich bin´s, Ihre eMail! y Haben Sie diese EMail verschickt?.
Los archivos adjuntos a estos mensajes tienen los siguientes nombres: reg_text.zip, Liste.zip, excel_table.zip, Tabelle.zip, registration.zip y Word-Text.zip.
Todos estos archivos contienen un ejecutable comprimido, que al ser abiertos liberan el verdadero código malicioso en el sistema infectado.
Si el usuario ejecuta el adjunto bajo Windows XP con Services Pack 2, el gusano modificará el archivo TCPIP.sys dejándolo inutilizable, y provocando que el usuario no puede conectarse a la red.
Además, impedirá la ejecución de la herramienta de eliminación de Microsoft, así como también, intentará detener el acceso a otras herramientas de limpieza y a software de diversas casas antivirus.