Dès le moment de l'apparition du ver à la mi-janvier 2003 seulement trois versions portant les indices "A", "B" et "C" étaient découvertes. Malgré ça, dans l'aperçu de l'activité virale du mois de mai , 'Sobig' prenait la première place, dépassant les tristement célèbres "Klez" et "Lentin" ("Yaha").

'Sobig' est transmis à l'ordinateur par le biais du courrier électronique, en tant que fichier attaché, ou par le biais du réseau local. Pour sa diffusion via courrier électronique, il scanne les fichiers de l'ordinateur infecté, récupère à l'intérieur de ceux-ci les adresses de courrier électronique et se transmet imperceptiblement pour le propriétaire de l'ordinateur infecté. Pour forcer l'utilisateur à lancer le fichier porteur du ver, il utilise diverses méthodes, en particulier, en se camouflant dans des messages de l'assistance technique de Microsoft. Il est capable de se mettre à jour automatiquement en se connectant à des serveurs Web. Il peut aussi installer des programmes espions sur l'ordinateur infecté.

"Sobig.b" (également appelé "Palyh") est l'instigateur du renouveau de ce ver et grâce à lui cette famille s'est hissée au premier rang des programmes malfaisants les plus répandus. Cependant, l'auteur de 'Sobig' a inséré à celui-ci un système de déclenchement temporaire : lorsque la date du 31 mai est dépassée sur l'ordinateur infecté, le ver déconnecte automatiquement toutes les fonctions excepté le chargement des modules supplémentaires. Cette particularité condamne pratiquement "Palyh", puisque les serveurs Web, d'où il récupère les mises à jour ont déjà été fermés.

La nouvelle version, "Sobig.c", ne se distingue pratiquement pas des versions précédentes, elle a, de plus, la même particularité : son fonctionnement est limité dans le temps ( en l'occurrence jusqu'au 8 juin ). "J'ai l'impression, que les vers "condamnés" sont devenus comme un nouveau style pour ces auteurs, que l'on ne peut malheureusement pas localiser" a commenté Eugène Kaspersky, le chef des études antivirales de Kaspersky Labs. "On peut supposer, que les protagonistes suivants de cette histoire sans fin, seront des vers fonctionnant jusqu'au 16, 23, 30 juin et ainsi de suite."

La protection contre ce ver a été ajoutée à la base de données de Kaspersky Anti-Virus. Une description plus détaillée du ver 'Sobig' est disponible dans l'Encyclopédie Antivirale de Kaspersky Labs.