Sober đã "tung hoành" khắp nơi trên Internet từ tháng 10/2003, với khoảng 20 biến thể khác nhau. Biến thể mới nhất theo F-Secure là Sober.Y (US-CERT gọi là CME-681), biến thể này lây nhiễm tới hơn 40% số máy bị nhiễm sâu và virus mà F-Secure phát hiện được.
Một trong những tính năng nguy hiểm nhất của Sober chính là khả năng tự động tải các biến thể mới, và lập tức lây nhiễm vào các hệ thống máy tính khác rất nhanh chóng. Theo hãng bảo mật iDefence thì biến thể Sober.Y mới này sẽ tự cập nhật biến thể mới từ trang Web có tên: Jan.5 và sẽ phát tán vào ngày 5/1/2006 tới.
Trong một thời gian dài, các nhà nghiên cứu phòng chống virus đã gặp phải khó khăn khi phân tích mẫu virus, để tìm ra địa chỉ phát tán của sâu. Bởi các địa chỉ URL sử dụng trong các biến thể của Sober được tạo ra từ một thuật toán bí mật. Sober đã sử dụng thuật toán này để tạo ra các địa chỉ URL ngẫu nhiên dựa trên ngày tháng.
Các địa chỉ URL này thường chỉ tới các trang Web tại Đức và Úc, bởi các máy chủ tại đây cho phép hosting các trang Web miễn phí. Tác giả của sâu chỉ cần tính toán trước địa chỉ URL vào bất cứ ngày nào. Khi nào anh ta muốn chạy một chương trình nào đó trên máy bị nhiễm, anh ta chỉ cần đăng kí vào một địa chỉ URL hợp pháp, upload chương trình của anh ta lên và rất nhanh chóng, hàng trăm nghìn máy tính trên toàn cầu sẽ bị nhiễm.
Sober sử dụng danh sách 15 trang Web có chứa các kí tự khác nhau dựa trên ngày tháng, được đăng kí từ các nhà cung cấp trang Web miễn phí, ví dụ như trang Web có cái tên kì quái như: Jan.5. Sau mỗi 14 ngày, danh sách này sẽ thay đổi 15 trang Web khác, với cái tên lúc trước bây giờ sẽ là Jan.6.
F-Secure tuyên bố hãng đã phá bỏ được thuật toán mà Sober đã sử dụng. Điều đó giúp cho việc xác định được địa chỉ thực URL mà các biến thể mới của sâu sẽ được tải về sẽ dễ dàng và đơn giản. Khi đã xác định được URL nào phát tán sâu, các nhà quản lý máy chủ Web có thể lập tức chặn ngay những trang Web này, cũng như đưa ra danh sách các trang Web đó vào danh sách cấm truy cập trong tường lửa của các công ty.
F-Secure cũng cho biết thêm, thực ra hãng đã phá bỏ được thuật toán của Sober từ tháng 5/2005. Nhưng hãng không công bố rộng rãi mà đợi đến tận thời điểm này nhằm mục đích theo dõi hành tung của tác giả Sober.
Minh Phúc