更新时间：2005-10-21
 
于当地时间本周一被发现的Sober.D病毒在技术上与上一个变种Sober.C相似，也使用自带的SMTP引擎向在被感染的系统上发现的电子邮件地址发送它自己的拷贝，但Sober.D病毒显示虚假的微软公司警告和错误消息。

　　反病毒软件厂商Sophos公司的资深技术顾问格雷厄姆表示，它包含在自称是一款针对MyDoom病毒的补丁软件的电子邮件中，该电子邮件中似乎包含有来自微软公司的补丁软件，因此用户通常会毫不犹豫地双击其中的附件文件。

　　据芬兰的安全厂商F-Secure公司称，Sober.D病毒的传播形式为可执行的附件或有口令保护的ZIP文档。一旦用户双击该文件，病毒就会扫描PC，看它是否已经被感染。如果病毒还没有被感染，就会弹出一个内容为“该补丁软件已经成功安装”的消息框；如果系统已经被感染，则会显示内容为“该系统无需安装这款补丁软件”的消息框。

　　根据被发送的地方不同，Sober.D病毒能够改变电子邮件内容的语种。如果收件人的电子邮件地址中包含有“de”、“ch”、“at”、“li”、“nl”或“be”扩展时，电子邮件的文本将使用德语，主题为“MicrosoftAlarm:Bitte Lesen”，否则主题将使用英文，“Microsoft Alert:PleaseRead!”（微软公司警告信息：请阅读）。格雷厄姆表示，上一版本的Sober病毒也使用了二种语言。

　　这已经不是第一次病毒将自己伪装成微软公司的升级包。1月份，Trojan.Xombe病毒就将自己伪装成WindowsXP的危急补丁软件。它们都模仿了2003年的Swen病毒，这也是被认为第一种伪装成微软公司安全警告的病毒。微软公司已经多次表示，它从不通过电子邮件向用户发送补丁软件，因此用户不要理会类似的电子邮件。