Win32/Sobig.A je Φerv, Üφriaci sa ako s·bor v prφlohe sprßv elektronickej poÜty. ╚erv je mß dσ₧ku 65536 bajtov a je komprimovan². Po dekompresii je jeho dσ₧ka okolo 122 Kb.
Win32/Sobig.A prichßdza so sprßvou, ktorej predmet je jeden z nasledovn²ch:
Re: Movies
Re: Sample
Re: Document
Re: Here is the sample
V prφlohe sa nachßdza s·bor s Φervom, ktor² m⌠₧e ma¥ meno Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif alebo Sample.pif.
Poznßmka: V ∩alÜom texte je namiesto mena adresßra, v ktorom je nainÜtalovan² operaΦn² systΘm Windows, ktor² sa z pochopite╛n²ch d⌠vodov m⌠₧e lφÜi¥ pri ka₧dej jednotlivej inÜtalßcii pou₧it² symbolick² zßpis %windir%.
Po spustenφ sa Φerv skopφruje pod menom winmgm32.exe do adresßra %windir%, kde vytvorφ aj s·bor sntmls.dat. ╚erv zabezpeΦφ svoju aktivßciu po reÜtarte operaΦnΘho systΘmu t²m, ₧e vytvorφ polo₧ku WindowsMGM vo vetve registra systΘmu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Jej hodnotu nastavφ na svoju k≤piu v adresßri %windir%.
Adresy elektronickej poÜty pre svoje Üφrenie zφskava zo s·borov s prφponami HTM, EML, HTML, WAB, TXT a DBX.
Win32/Subig.A sa dokß₧e Üφri¥ aj po lokßlnej poΦφtaΦovej sieti. ╚erv vytvßra na dostupn²ch zdie╛an²ch sie¥ov²ch diskoch s·bor winmgm32.exe a adresßroch Windows\All Users\Start Menu\Programs\StartUp alebo Documents and Settings\All Users\Start Menu\Programs\Startup. Programy, ktorΘ sa nachßdzaj· v t²chto adresßroch sa automaticky sp·Ü¥aj·, Φo sp⌠sobφ napadnutie poΦφtaΦa.
NOD32 detekuje Win32/Sobig.A od verzie 1.344.