Al igual que sus predecesores, Sobig.D se envía por correo
electrónico -utilizando su propio motor SMTP para no dejar rastro de sus
acciones- a direcciones de correo obtenidas de ficheros con extensiones .TXT, .EML,
.HTM*, .DBX y .WAB que encuentra en los directorios del ordenador afectado. El
e-mail en el que el gusano llega al equipo hace uso de la "Ingeniería Social" ,
ya que tanto el asunto como el cuerpo de texto, así como el nombre del archivo
adjunto son seleccionados a partir de una lista de opciones. Las mismas pueden
consultarse en la dirección <http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=39884>.
Además, Sobig.D puede propagarse a través de redes locales. Para ello, se copia
en los directorios de los equipos de red conectados a la máquina afectada que
corresponden a los directorio de inicio de Windows.
Por último, Sobig.D crea varias entradas en el registro de Windows con el
objetivo de asegurar su ejecución cada vez que se inicie el equipo.