A MessageLabs biztonsági cég szerint novemberben a Sobig.F a harmadik legaktívabb volt, a cég szervere által észlelt 264.000 példányt alapul véve. Bár ez a szám messze alatta van a korábbi csúcsnak, a jelenség mégis meglepő, mert - a Sobig család több tagjához hasonlóan - a kódba be van építve egy tevékenységzáró dátum, nevezetesen szeptember 10.-e.
A MessagLabs szerint a továbbélés több tényező együttes eredménye: részben az ellene folyó harcé (bármily meglepő is), részben pedig azé, hogy sok PC hibás dátummal fut.
Az első Sobig 2003 januárban jelent meg, majd több változata követte. A Sobig.F-et először augusztus 19.-én azonosították. Levelek hátán terjedt és sok vállalati hálózatot tett tönkre, bár valódi célja a számítógépek birtokba vétele.
A Sobig.F fertőzést követően a PC periodikusan felveszi a kapcsolatot 20 olyan webszerverrel, amit a vírusszerző már elfoglalt, és kísérletet tesz egy fájl letöltésére. A sorozatos letöltés egy kemény DoS támadást jelentett volna, ha sok szervert nem választottak volna le időben a hálózatról. Ezen utóbbi célszerű lépés lehet az egyik oka annak, hogy ezek a szerverek, dátumellenőrzés nélkül, most küldik el a kódot. Ezt aztán sok PC továbbküldi, mert a nem hálózati szerveridőt használó, egyedülálló PC-k belső órája megállt a kimerült elem cseréjének elmulasztása miatt.