Internetem se masivně šíří další modifikace viru Sobig. Win32/Sobig.E je zákeřný tím, že jeho příloha je zazipovaná a tak na první pohled není patrné, že by se mohlo jednat o vir. Falešná je rovněž adresa odesílatele, maskuje se za technickou podporu s mailem support@yahoo.com.
Předmět zprávy může být rozličný, většinou se jedná o níže uvedený text:
Re: Application
Re: Movie
Re: Movies
Re: Submitted
Re: ScRe:ensaver
Re: Documents
Re: Re: Application ref 003644
Re: Re: Document
Your application
Application.pif
Applications.pif
movie.pif
Screensaver.scr
submited.pif
new document.pif
Re: document.pif
004448554.pif
Referer.pif
Příloha souboru je ve formátu .ZIP, a tudíž ji antivir ponechá bez povšimnutí. Soubory mohou být takovéto:
your_details.zip
application.zip
document.zip
screensaver.zip
movie.zip
Po svém spuštění prohledá virus Sobig.E .wab, .dbx, .htm, .html, .eml a .txt soubory, z nichž se snaží vytáhnout e-mailové adresy, na které se následně rozesílá.
Zdroj: Messagelabs
Sobig.E se začal razantně šířit v noci ze středy na čtvrtek a většina antivirových výrobců před zákeřností viru varuje. Pro většinu antivirů již byly vydány aktualizace. Pokud jste červa spustili, doporučujeme použít jednorázový antivirus, který vir odstraní ze systému. Virus sám přestane být aktivní 14. července.
