In oktober 2003 verscheen de eerste Sober worm. Sindsdien zijn er 20 varianten van de worm verschenen, waarbij Sober.Y zelfs voor de grootste virusuitbraak van dit jaar wist te zorgen. De meeste varianten bevatten een routine die de worm op een latere datum activeert. De worm zal daarna op bepaalde data van verschillende websites code downloaden en installeren.

Via dit verspreidingsmechanisme weten de nieuwe Sobers zich massaal te verspreiden. De virusschrijver plaatst een nieuwe versie en alle al geinfecteerde machines worden dan bijgewerkt met de laatste variant.

Zoals gezegd was Sober.Y verantwoordelijk voor de grootste e-mail virusuitbraak van dit jaar, en is het nog steeds goed voor 40% van alle infecties. Deze variant is zo geprogrammeerd dat het op 5 januari geactiveerd wordt. Het virus synchroniseert zelfs met atoomklokken om ervoor te zorgen dat de activatie niet voor 5 januari plaatsvindt, als de PC klok bijvoorbeeld verkeerd zou staan.

De vraag blijft welke URL de virusschrijver gaat gebruiken voor het uploaden van de nieuwe code. De auteur weet dat als hij een enkel adres gebruikt, de URL snel geblokkeerd zal worden. Daarom gebruikt Sober een algoritme voor het genereren van URLs die afhankelijk van de datum veranderen. De URLs wijzen naar gratis hosting servers die vaak in Duitsland en Oostenrijk staan. 99% van de gegenereerde URLs bestaat simpelweg niet eens, toch kan de virusschrijver voor een bepaalde datum de URL bepalen en die registereren, waarna hij zijn programma uploadt en zo weer duizenden machines weet te infecteren.

Het gaat om URLs zoals:
http://people.freenet.de/gixcihnm/
http://people.freenet.de/tobtrfjabzw/
http://people.freenet.de/utzmfucaau/
http://people.freenet.de/phyibrpkcpl/
http://people.freenet.de/lhxrdryo/
http://people.freenet.de/yediykdq/
http://people.freenet.de/bjjhdkybpyaj/

Systeembeheerders doen er dan ook verstandig aan om deze URLs te blokkeren, zegt het Finse F-Secure in deze analyse.