'.WAB'

'.DBX'

'.HML'

'.HTML'

'.EML'

'.TXT'

A feladó e-mailcíme hamis, mindig 'big@boss.com'. A tárgy sor szövege változó, az alábbiak fordulhatnak elő:

'Re: Here is that sample'

'Re: Document'

'Re: Sample'

'Re: Movies'

A levĂŠltĂśrzs szĂśvege csak ennyi

'Attached file:'

Az üzenet mellékletet tartalmaz, az előforduló, eddig ismert fájlnevek:

'Sample.pif'

'Untitled1.pif'

'Document003.pif'

'Movie_0074.mpeg.pif'

A féregvírus saját SMTP funkcióval rendelkezik, így a fertőzött gépen lévő levelezőprogram beállításai nincsenek hatással terjedésére. A Sobig helyi hálózaton keresztül is terjed, a fertőzött gépről elérhető összes hálózati megosztást végig pásztázza és az alábbi két hely valamelyikébe másolja magát:

'Windows\All Users\Start Menu\Programs\StartUp'

'Documents and Settings\All Users\Start Menu\Programs\Startup'

(Ezek a könyvtárak szolgálnak Win9x illetve NT alapú rendszerekben a rendszerindulás és felhasználói bejelentkezés után automatikusan lefuttatásra kerülő programok elhelyezésére. Ennek következtében a távoli gép is megfertőződik.)

Amikor a vĂ­rus aktivizĂĄlĂłdik, a Windows rendszerkĂśnyvtĂĄrba mĂĄsolja magĂĄt "winmgm32.exe" nĂŠven, majd lĂŠtrehozza az ehhez tartozĂł indĂ­tĂłkulcsot az alĂĄbbi registry ĂĄgban:

'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM'

Ezután a vírus a gép minden indításakor betöltődik a windows mappából.

HĂĄtsĂł ajtĂł funkciĂł

A Sobig féreg olyan funkciót is tartalmaz, amely letölt egy szöveges állományt a helyről. Ebben a fájlban olyan webhelyek listája található, ahonnan egyéb kártékony programokat tölthet le és telepíthet a fertőzött gépre a Sobig. A jelen leírás készítésének időpontjában azonban ez a funkció működésképtelen volt, a webhelyet időközben megszűntették.