Az új változatot Sober.j-nek nevezte el a McAfee, az F-Secure és a Kaspersky Labs pedig Sober.i-nek. A múlt év októberében felbukkant féreg legújabb változata különböző tárgyú és témájú angol vagy német e-mail üzenetek csatolmányaként továbbítja magát.
A féreg a csatolmány megnyitásakor aktivizálódik, egy hamis hibaüzenetet jelentetve meg a képernyőn. Ezután a féreg két fájlt hoz létre a Windows könyvtárban, majd az áldozat gépének e-mail listáit felhasználva tovább küldi magát a felhasználó által ismert személyekhez. A két létrehozott fájl megnehezíti a féreg manuális eltávolítását, mivel mindkét fájl betöltődik a rendszer-memóriába, és ha az egyiket töröljük, a másik helyreállítja azt. A vírus-írtó szoftverek azonban megbirkóznak vele. Terjedése folyamán a Sober.i a német közönség számára is alkalmazkodik; a német domainekben elhelyezkedő e-mail címekre küldött levelekben - mint a .de (Németország), a .ch (Svájc) a .at (Ausztria) végződésűek - egy német szöveget hoz létre.
A McAfee egyik szakértője szerint a féreg valószínüleg Németországból ered. A Sober.i önmagának másolásától eltekintve látszólag nem okoz kárt a felhasználó rendszerében. A féreg ugyan megpróbál szoftvert letölteni egy távoli helyről, azonban ez a McAfee tesztjei során nem sikerült a féregnek. A variáns nem telepít billentyűzet-figyelő vagy hátsó-kapu programokat.
