据赛门铁克网站报道：W32.Sobig.F@mm 是具有网络意识的群发邮件蠕虫，它将自身发送到在具有以下扩展名的文件中找到的所有电子邮件地址：.dbx .eml .hlp .htm .html .mht .wab .txt

　　感染长度:  大约 72,000 bytes  
　　受影响的系统:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

　　电子邮件例程详细信息

　　所发送的电子邮件具有下列特征：

　　发件人：虚假地址（即“发件人”字段中的发件人极有可能不是真正的发件人）。蠕虫可能会将地址 admin@internet.com 作为发件人。

　　注意：

　　虚假地址和收件人地址都是从在计算机上找到的文件中提取出来的。另外，蠕虫可能使用受感染计算机上的设置来检查可以联系的 SMTP 服务器。
　　选择 internet.com 域看起来是任意的，与实际的域或其父公司并无任何关系。

　　主题：
　　Re: Details
　　Re: Approved
　　Re: Re: My details
　　Re: Thank you!
　　Re: That movie
　　Re: Wicked screensaver
　　Re: Your application
　　Thank you!
　　Your details

　　正文：
　　See the attached file for details
　　Please see the attached file for details.

　　附件：
　　application.zip (contains application.pif)
　　details.zip (contains details.pif)
　　document_9446.zip (contains document_9446.pif)
　　document_all.zip (contains document_all.pif)
　　movie0045.zip (contains movie0045.pif)
　　thank_you.zip (contains thank_you.pif)
　　your_details.zip (contains your_details.pif)
　　your_document.zip (contains your_document.pif)
　　wicked_scr.zip (contains wicked_scr.scr)

　　注意：蠕虫将在 2003 年 9 月 10 日停止活动，因此蠕虫进行传播的最后一天为 2003 年 9 月 9 日。

　　相关技术信息

　　执行 W32.Sobig.F@mm 时，该蠕虫会执行下列操作：

　　将自身复制为 %Windir%\winppr32.exe。
　　注意：%Windir% 是一个变量。蠕虫会找到 Windows 安装文件夹（默认为 C:\Windows 或 C:\Winnt），然后将自身复制到其中。

　　创建下列文件：
　　%Windir%\winsst32.dat

　　将值：
　　"TrayX"="%Windir%\winppr32.exe /sinc"

　　添加到注册表键：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　这样蠕虫便可在 Windows 启动时运行。

　　试图将其自身复制任何有权利进入的网络共享。蠕虫通过标准 Windows API 达到上述目的。
　　Sobig.F 能够将任意文件下载到感染的计算机并将其执行。 蠕虫作者使用此功能来盗取系统机密信息并在受感染计算机上建立垃圾邮件中转服务器。

　　该功能也可被蠕虫用于自我更新。 在合适的时机，Sobig.F 会尝试联系几台由蠕虫作者控制的主服务器，蠕虫在拿到一个 URL 后用它找到特洛伊木马程序，并将其下载到本地计算机后执行。

　　对于 Sobig.F，这个合适的时机是指：
　　格林威治时间（格林威治时间加 8 小时换算成北京时间）的星期一或星期五
　　格林威治时间的晚 7 点到 晚 11:59:59
　　Sobig.F 通过联系几台服务器的 123/UDP 埠 (NTP 埠) 来获取 UTP (网络时间协议) 以查知格林威治时间。

　　蠕虫向主服务器的 8998/udp 埠发送探测包，主服务器随后发还一个 URL，蠕虫就到这个 URL 下载特洛伊木马程序。

　　Sobit.E 还会打开下列埠：
　　995/udp
　　996/udp
　　997/udp
　　998/udp
　　999/udp
　　并在这些埠上监测传入的 UDP 数据包。 传入的数据会被解析，在收到到具有某特定签名的数据包后，蠕虫的主服务器清单会被更新。

　　建议网络管理员执行下面的操作：
　　停止 99x/udp 埠的入站通讯。
　　停止 8898/udp 埠的出站通讯。
　　监视 123/udp 埠的可能来自于感染计算机的 NTP 请求。 对感染计算机检查需应每小时进行一次。

防治措施

　　使用 W32.Sobig.F 杀毒工具进行杀毒