Win32/Sobig.A je červ, šíriaci sa ako súbor v prílohe správ elektronickej pošty. Červ je má dĺžku 65536 bajtov a je komprimovaný. Po dekompresii je jeho dĺžka okolo 122 Kb.
Win32/Sobig.A prichádza so správou, ktorej predmet je jeden z nasledovných:
Re: Movies
Re: Sample
Re: Document
Re: Here is the sample
V prílohe sa nachádza súbor s červom, ktorý môže mať meno Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif alebo Sample.pif.
Poznámka: V ďalšom texte je namiesto mena adresára, v ktorom je nainštalovaný operačný systém Windows, ktorý sa z pochopiteľných dôvodov môže líšiť pri každej jednotlivej inštalácii použitý symbolický zápis %windir%.
Po spustení sa červ skopíruje pod menom winmgm32.exe do adresára %windir%, kde vytvorí aj súbor sntmls.dat. Červ zabezpečí svoju aktiváciu po reštarte operačného systému tým, že vytvorí položku WindowsMGM vo vetve registra systému HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Jej hodnotu nastaví na svoju kópiu v adresári %windir%.
Adresy elektronickej pošty pre svoje šírenie získava zo súborov s príponami HTM, EML, HTML, WAB, TXT a DBX.
Win32/Subig.A sa dokáže šíriť aj po lokálnej počítačovej sieti. Červ vytvára na dostupných zdieľaných sieťových diskoch súbor winmgm32.exe a adresároch Windows\All Users\Start Menu\Programs\StartUp alebo Documents and Settings\All Users\Start Menu\Programs\Startup. Programy, ktoré sa nachádzajú v týchto adresároch sa automaticky spúšťajú, čo spôsobí napadnutie počítača.
NOD32 detekuje Win32/Sobig.A od verzie 1.344.