Worm jest podsyłany w przesyłkach poczty elektronicznej pochodzącej od jednego nadawcy: "[email protected]", i jest zawarty w dołączonym pliku wykonywalnym o różnych nazwach: sample.pif, untitled.pif i Move_0074.mpeg.pif.

Po otwarciu robak umieszcza swoją kopię w katalogu Windows, tworzy proces uruchomienia programu worma i modyfikuje rejestry Windows, tak aby program został uruchomiony przy starcie Windows.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Po zainfekowaniu maszyny worm poszukuje adresów pocztowych w różnych plikach tekstowych przechowywanych na dysku twardym. Pod adresy te są wysyłane kopie worma. Sobig przeszukuje także współdzielone katalogi w sieci, do którym ma dostęp zainfekowana maszyna, i umieszcza w nich swoje kopie.

Chociaż nie stwierdzono, aby ten worm przechwytywał istotne informacje z zainfekowanego komputera, to jednak firmy antywirusowe ostrzegają, że Sobig podłączył się do ośrodka webowego GeoCities (obsługiwany przez Yahoo) z którego próbował sprowadzać i wykonywać pliki wykonywalne.

Strona webowa GeoCities używana przez Sobig została niedawno zmodyfikowana pod kątem instruowania worma do sprowadzania trojana znanego jako Backdor.Delf, który pozwala twórcy wirusa na przęjecie kontroli nad zainfekowaną maszyną.

W ostatnich dniach worm zaczął rozpowszechniać się szybciej i liczba zainfekowanych maszyn zaczęła rosnąć. Jest to pewnym zaskoczeniem ponieważ Sobig jest relatywnie prymitywnym wormem i brak mu wymyślnych mechanizmów, jakimi dysponują wormy nowej generacji.

Po pierwsze przychodzi w przesyłce zawsze od tego samego nadawcy ([email protected]), ponadto sama wiadomość pocztowa używa zaledwie kilku nazw tematu, takich jak "Movie", "Sample" i "Document", a także tylko kilku nazw załączników. I w końcu, co najważniejsze, Sobig wymaga otwarcia załącznika przez odbiorcę poczty, w odróżnieniu od takich robaków jak Lirva czy Bugbear, które wykorzystując lukę Internet Explorer i Outlook otwierają załącznik bez udziału użytkownika.

Jednym z możliwych wyjaśnień wzrostu liczby zainfekowanych maszyn jest efektywność w wysyłaniu własnych kopii tego robaka. Podobne zjawisko miało miejsce w przypadku wirusa Klez.

Firmy antywirusowe umieściły na swoich stronach webowych instrukcje, jak usuwać worma z zainfekowanych maszyn.