, а также имена и расширения (PIF, BAT, SCR, COM, EXE) вложенных файлов, что затрудняет его идентификацию по внешним признакам. При запуске вложенного в зараженное письмо файла Sober показывает на экране фальсифицированное сообщение об ошибке: File not complete! Затем "червь" создает в системном каталоге Windows три свои копии с различными именами и регистрирует их в ключе автозапуска системного реестра операционной системы. После этого Sober запускает процедуру распространения. Для этого он сначала находит на зараженном компьютере файлы, которые могут содержать электронные адреса (например, HTML, WAB, EML, PST и др.), считывает оттуда данные и незаметно для владельца компьютера рассылает от его имени найденным адресатам свои копии. В теле "червя" содержатся также текстовые строки, в которых автор вредоносной программы выражает свое восхищение автору другого сетевого червя - Sobig. Процедуры защиты от Sober уже добавлены в базу данных "Антивируса Касперского".