A vírus a szakértők új közleménye szerint azért "közepesen veszélyes", mert előfordulási gyakorisága az utóbbi órákban megnőtt. A W32/Sobig.e@MM vírust június 25-én fedezték fel, de már a korábbi, 4266-os DAT fájlok tartalmazzák a vírus új variánsának proaktív felismeréséhez szükséges információt.

Hasonlóan a Sobig.d variánshoz, a vírus saját SMTP levelező komponenst is tartalmaz, e-mailen és helyi hálózaton keresztül is terjeszti magát ZIP formátumban, így megkerülve a kiterjesztésekre vonatkozó szabályokat. Ezért a felhasználónak további lépéseket kell tennie a vírus tényleges eltávolításáért. Továbbá egyes levelezőkliensek a kiterjesztést „ZI" ként is megjeleníthetik.

A féreg gépen található WAB, DBX, HTM, HTML, EML és TXT fájlokból összegyűjtött e-mail címekre küldi magát tovább. Az érkező fertőzött e-mail az alábbi ismertetőjegyek alapján azonosítható:


A vírus működésbe lépésekor feltérképezi a hálózatot, és az alábbi helyekre próbálja meg bemásolni magát:


Az alábbi fájlokat másolja a %windir% mappába (ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS):


Létrehozza a következő Registry kulcsot, amely a legközelebbi rendszerindításkor lép életbe:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "SSK Service" = %WinDir%\winssk32.exe

(ahol a %windir% mappa a Windows alapértelmezett mappája, pl.: C:\WINNT, C:\WINDOWS)

A W32/Sobig.e@MM vírust a 4266-es DAT fájl W32/Sobig.c@MM néven kezeli, de a teljes védelemhez ebben az esetben szükséges a 4.2.40+ scan engine és a tömörített állományok vizsgálatának engedélyezése is. A 4273-es DAT fájl W32/Sobig.e@MM néven ismeri fel a vírust bármelyik scan engine-nel.

További információ az AVERT javaslatairól és a kockázatfelmérésről