Antivirusselskabet MessageLabs oplyser, at Sobig var den tredje mest aktive virus i november. Selskabet fandt 264.000 kopier af ormen.
Tallet er overraskende, fordi den seneste variant af Sobig, Sobig.F, er programmeret til at standse spredningen af sig selv den 10. september.
Den første variant af Sobig blev opdaget i januar, og er efterfølgende blevet opfulgt af nye varianter. Et fællestræk for Sobig-varianterne er, at de alle har en fastsat dato for, hvornår de skal standse spredningen af sig selv.
Problemet er, at der er visse faktorer, som har betydning for, at Sobig fortsætter sin spredning. Især to faktorer er afgørende.
Den ene faktor er, at en computer, inficeret af Sobig, linker til bestemte web-servere for at hente en fil. Serverne var på forhånd hackede af Sobigs bagmænd. Eksperter mener, at koden kunne sætte massive denial-of-service-angreb i værk, hvilket dog blev forhindret, fordi de inficerede servere blev lukkede.
Ifølge MessageLabs kan dette have forhindret Sobig.F i at standse sin egen spredning, sådan som den er programmeret til. Ifølge Paul Woods, MessageLabs, blev de inficerede computere afbrudt i den proces, Sobig.F var programmeret til at udføre, da de kompromitterede servere blev lukkede.
»Når filen var downloadet og pc'en var på det endelige stadie, ville den holde op med at sende flere kopier af Sobig. Dette for at forhindre opdagelsen af det faktum, at pc'en allerede var kompromitteret. I stedet for fortsætter pc'er inficeret med Sobig.F med at sprede virusen og tjekker ikke datoen,« siger Paul Woods, MessageLabs.
En anden faktor, som gør sig gældende, er, at mange pc'er er indstillede med en forkert dato.