Sobig.F es un gusano informático convencional, que se propaga mediante el correo electrónico. Por norma general, un gusano de este tipo se propaga con relativa lentitud, yendo de un sistema a otro mientras se apodera de la lista de direcciones con el fin de autoenviarse hacia ellas.
Sin embargo, Sobig.F incorpora una nueva estrategia. El gusano inicial fue enviado simultáneamente a decenas de miles de direcciones, lo que hizo posible que adquiera un fuerte impulso que facilitó su propagación antes que las compañías antivirus lograran actualizar sus listas y crear los códigos neutralizantes correspondientes.
Sobig (tan grande) llega al sistema como anexo a un mensaje de correo electrónico con el texto Re: Details, Re: Approved, Re: Your application, o similar en el renglón de asunto. El archivo anexo tiene la raíz .pif o .scr. Si el archivo es abierto, el gusano instala una copia de si mismo en la carpeta de Windows, en un archivo denominado winppr32.exe. Luego, el código maligno procede a revisar el sistema local a la búsqueda de direcciones de correo electrónico.
Sobig.F también usurpa la identidad de usuarios de correo electrónico, incorporándola en el renglón del remitente, con el fin de ganar la confianza del destinatario y hacer que éste abra el mensaje y el archivo anexo.
