Seit Montag Abend werden wieder verstärkt neue Varianten der Sober-Mails verbreitet. Sowohl die gefälschten Absenderangaben als auch der Text sollen den Eindruck erwecken, als kämen die Mails vom Bundeskriminalamt in Wiesbaden.

Die Mails werden mit dem Betreff "Sie haben Raubkopien" verschickt. Als vorgebliche Absender sind Adressen wie BKA.Bund@BKA.de, BKA@bka.bund.de, Downloads@bka.de oder Internet@bka.bund.de angegeben. Im Text wird behauptet, wegen illegalen Downloads sei ein Ermittlungsverfahren gegen den Empfänger eingeleitet worden (s. Abb.). Bereits Sober.c war kurz vor Weihnachten 2003 mit ähnlichen Mails an den Start gegangen.

Dabei sind die angegebene IP-Adresse und das Aktenzeichen variabel. Die Nummer des Aktenzeichens findet sich auch im Dateinamen des Anhangs wieder, also etwa "Akte8472.zip". In der ZIP-Datei steckt der Wurm als "File-packed_dataInfo.exe" (55.390 Bytes). Eine weitere Mail-Variante trägt den Betreff "RTL: Wer wird Millionaer" (Anhang: "RTL.zip") und verspricht dem Empfänger, er werde demnächst bei Günther Jauch im Studio sitzen.

Englische Varianten der Mails kommen mit einem Betreff wie zum Beispiel "hi, ive a new mail address", "Paris Hilton & Nicole Richie" oder "You visit illegal websites" und einem Anhang namens "reg_pass-data.zip" oder auch "downloadm.zip".

Nach Angaben von Trend Micro wurde diese Sober-Variante in Brasilien, Belgien, Kanada, den USA, Neuseeland und Deutschland gesichtet. Die meisten Antivirus-Programme erkennen diese Version des Sober-Wurms inzwischen, lediglich Symantec fehlt noch: