北京时间3月8日,安全专家发现了Sober邮件病毒的一个新的变种——Sober.D,这一变种的奇特之处在于它可以伪装成微软官方发布的反MyDoom病毒的补丁.Sober.D从技术上来讲同前一个变种Sober.C类似,它们都通过自带的SMTP引擎将包含了其复制品的邮件发送到感染病毒计算机的邮件列表中的邮件地址.这两个病毒不同之处在于Sober.D里面包含了微软的警告和报错信息,希望通过这一手段欺骗计算机用户.英国计算机安全公司Sophos的咨询顾问格拉汉姆?克拉利表示：“Sober.D包含在邮件附件中，它通常会伪装成微软用来对付MyDoom病毒的补丁。这一手段非常具有欺骗性，因为用户往往对于貌似来自于微软的东西缺乏警惕性。”

　　芬兰反病毒公司F-Secure指出，Sober.D通常以可执行文件的形式传播，有时它也会包含在一个密码保护的Zip文件里面。一旦用户点击这一文件，Sober.D就会对计算机进行扫描以确定是否已经感染该病毒。如果还没有感染，它就会弹出对话框：“补丁已经成功安装”；而如果已经感染病毒，它会弹出对话框：“本台计算机不需要安装补丁。”

　　克拉利同时指出，Sober.D还会根据邮件地址改变对话框中显示的语言，例如一旦邮件地址包含DE、CH、 AT、 LI、 NL或者 BE 扩展名，Sober.D就会使用德文对话框“Microsoft Alarm: Bitte Lesen ”，而在一般的情况下，它会使用英文“Microsoft Alert: Please Read!”。

　　这并不是第一次有病毒伪装成微软的补丁，今年一月，Xombe病毒就曾经伪装成Windows XP的重要更新进行传播。此外，2003年最成功的病毒之一——斯文病毒中也包含有类似微软警告的信息。微软公司发言人表示，微软从来不会通过邮件发送补丁给用户，所以用户一旦收到类似的信息应当完全不去管它。