Če uporabnik odpre pripono in aktivira datoteko, se črv skopira v osnovno mapo Windows pod imenom WINSSK32.EXE.
Črv ponaredi podatke o pošiljatelju ("From:"). Naslov je lahko 'support@yahoo.com' ali kakšen drug naslov, ki ga najde na okuženem računalniku.
Črv se širi tudi v lokalnih omrežjih preko zagonske mape.
Tako kot prejšnje verzije črvov Sobig se tudi ta preneha širiti in sicer 14. julija 2003.
Podroben opis črva je na naslovu: http://www.f-secure.si/sobig_e.html
