Kurt, yayılmak için bulaştığı bilgisayarda kayıtlı olan e-posta adreslerini arıyor ve kendisini EXE veya XIP arşivi biçimindeki bir dosya eklentisi olarak göndermek için sahip olduğu SMTP motorunu kullanıyor. Şayet kullanıcı bu eklentiye tıklayacak olursa da Microsoft güncellemesi yerine kurdun kendisi yükleniyor.
Eğer “Sober.D” e-posta adreslerinde “.de”, “.ch”, “.at”, “.li”, “.nl” veya “.be” uzantısını ve “@gmx” ismini kullanırsa bir de Almanca ileti metni içeriyor. Diğer tüm adreslerde ise İngilizce kullanıyor. Gönderen adresi kısmında ise her zaman yanıltıcı olarak Microsoft görünüyor.