Aliases:
W32/Sobig@MM, Win32.Sobig, W32/Bigboss@mm, W32/Sobig, WORM_SOBIG.A, W32/Sobig.A@mm, I-Worm.Sobig                                                                               

Descripción:
W32.Sobig.A es un gusano que utiliza su propio motor SMTP para extenderse, además de unidades compartidas en redes Windows.
El gusano W32.Sobig.A se envía a sí mismo a todas las direcciones que encuentre en los archivos .txt, .eml, .html, .htm, .dbx y .wab de la máquina infectada.
El mensaje de correo electrónico presenta las siguientes características:

De: big@boss.com
Asunto: el asunto es uno de los siguientes:

Re: Movies
Re: Sample
Re: Document
Re: Here is that sample

Archivo adjunto: el archivo que adjunta es uno de los siguientes:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

Al ejecutarse, W32/Sobig-A se copia en la carpeta de Windows con el nombre Winmgm32.exe.

W32/Sobig-A añade las siguientes claves en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WindowsMGM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsMGM

El gusano conecta con una Web desde donde intenta descargar el archivo reteral.txt, que incluye la dirección Web de otro archivo. W32/Sobig-A intentará descargar y ejecutar dicho archivo.

El gusano intenta copiarse en unidades compartidas de red dentro de la carpeta Windows\All Users\Start Menu\Programs\StartUp o Documents and Settings\All Users\Start Menu\Programs\Startup

Solución:
1) Uso de antivirus actualizado.
2) Eliminación de la entrada añadida al registro que provoca la ejecución automática del gusano cada vez que Windows es reiniciado.
3) Si Ud. posee Windows Me o Windows XP siga los soguientes pasos antes de ejecutar su antivirus
¿Como deshabilitar el System Restore en Windows Me y Windows XP?

Más Información:
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/la-w32.sobig.a@mm.html