Die neue Sobig-Version ist ihren Vorgängerversionen sehr ähnlich (die erste Version tauchte im Januar 2003 auf). Die eher kosmetischen Änderungen in der neuen Version betreffen nur die Betreffzeile, den Mail-Body sowie die Namen der angehängten Dateien und das Datum der Deaktivierung. Der Wurm ist nur bis zum 10. September vollfunktionell.

Sobig verbreitet sich über eMails mittels angehängter Dateien sowie über lokale Netzwerke. Um sich über LAN zu verbreiten, kopiert sich Sobig in die gemeinsamen Verzeichnisse des jeweiligen Netzwerks, während er für die Verbreitung über eMails infizierte Computer nach eMail-Adressen durchscannt und dann unbemerkt Kopien von sich an diese Adressen verschickt. Um Anwender dazu zu bringen, die angehängte Datei zu öffnen, benutzt Sobig verschiedene Tarnungen. So tarnt er seine Dateien z.B. als Mails vom Microsoft-Support. Einer der wesentlichen Payloads von Sobig ist seine Fähigkeit, von entfernten Web-Servern aktualisierte Versionen von sich herunterzuladen und sowie Spyware-Programme zu installieren.

Ein Schutz gegen diese Malware ist bereits der Kaspersky® Antiviren-Datenbank hinzugefügt worden. Detailliertere Versionen über die neue Version von Sobig finden Sie in der Kaspersky Virus Encyclopedia.