Anti Rootkit

We received some spams about a variant of Email-Worm.Win32.Sober today. It spreads via English and German spams. Everyone should be careful.

The English spams are as the following:

From: Webmaster@microsoft.com
Subject: Error in your eMail
Body:
Your eMail has occurred an unknown error on our Server. Please read your mail and check the text.

The full email is attached!

。auto mailerdaemon X.Path 4.2
。(c) by microsoft.com

Attachment: Mail_Data.zip

In the .zip file, there is a file “Winzipped_Data-Files.exe”. The size is 89,274 bytes, packed with UPX, Kaspersky detects it as Email-Worm.Win32.Sober.aa.
According to Symantec reports, these spams are as the following:

Subject:(One of the following)
Ihr Passwort wurde geaendert!
Fehlerhafte Mailzustellung
Ihr Account wurde eingerichtet!
Your Updated Password!
Error in your eMail

Body:(One of the following)

Ihr Passwort wurde erfolgreich geaendert.Ihre neuen Account-Daten und Passwort befinden sich gesichert im Anhang!
Diese Nachricht wurde Automatisch generiert. - Ihre EMail konnte nicht empfangen oder gesendet werden.
Danke das Sie sich fuer uns entschieden haben.Um ihren neuen Account zu aktivieren, folgen sie der kurzen Anleitung im Anhang. Es sind nur 2 Schritte noetig!
You notified us that you have forgotten your password.We have changed your password to a random sequence of letters and digits! For more detailed information, see the attached password file …
Your eMail has occurred an unknown error on our Server.Please read your mail and check the text.The full email is attached!

Attachment:(One of the following)
Passw_Data[RANDOM DIGITS].zip
PDaten[RANDOM DIGITS].zip

Mail_Data[RANDOM DIGITS].zip
Anleitung[RANDOM DIGITS].zip

Alias:

Email-Worm:W32/Sober.AA [F-Secure], W32/Sober-AD [Sophos], WORM_SOBER.AX [Trend Micro], W32.Sober.AA@mm [Symantec]