Worm/Sober.O hat eine Größe von 73.541 Bytes. Er besitzt, wie auch seine Vorgänger, eine eigene SMTP Engine. Als SMTP Engine bezeichnen Antivirenhersteller ein Programm, das selbständig Emails verschicken kann.
Wird Worm/Sober.O ausgeführt, öffnet dieser den Editor / Notepad und zeigt den Text "UnPack failed" an, gefolgt von diversen Zeichenketten. Der Computervirus fügt der Windows Registry bestimmte Einträge hinzu, damit dieser beim nächsten Systemstart automatisch gestartet wird.
Eine von Worm/Sober.O versandte Email hat folgendes Aussehen:
Absender (FROM): %spoofed%
Betreff (SUBJECT): I've_got your EMail on my_account!
Emailtext (BODY):
Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error! At time, I've got over 10 mails on my account, but the recipient are you.
I have copied all the mail text in the windows text-editor for you & zipped then. Make sure, that this mails don't come in my mail-box again.
bye
Anhang (ATTACHMENT): your_text.zip
Wird der Anhang der Email (ZIP Archiv) entpackt, wir die Datei "mail.document.Datex-packed.exe" erstellt. H+BEDV empfiehlt, Emails mit entsprechender Betreffzeile, die den Wurm transportieren, nicht zu öffnen, sondern sofort zu löschen.
H+BEDV hat bereits reagiert und seit heute, Dienstag, 19. April 2005, 6:45 Uhr, ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen unter www.antivir.de zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien "AntiVir Personal Edition" gegen den ungebetenen Besucher über www.free-av.de schützen.