Dat stellen diverse virusdeskundigen tegenover CNet. Anti-virusbedrijven gaan ervan uit dat het virus wordt ingezet voor spamdoeleinden. Sobig.F kan op een besmette computer nieuwe opdrachten van de virusmaker ophalen – bijvoorbeeld om spam te versturen. De twintig ip-adressen waar Sobig.F zijn nieuwe opdrachten kon ophalen, zijn inmiddels offline gehaald. Mikko Hypponen van het anti-virusbedrijf F-Secure denkt dat de virusmaker besmette computers `doorverkoopt' aan spammers. Die zetten de pc's in om ongevraagde, commerciële e-mails te versturen. Spammers maken steeds vaker gebruik van gekaapte computers om hun mail te versturen. Dit maakt het voor spamfilters lastiger om de afzender te blokkeren. Beveiligingsonderzoeker Joe Stewart denkt dan ook dat er snel weer een nieuwe variant van Sobig zal opduiken (Sobig.F was al de vijfde variant van het virus). "De maker weet duidelijk hoe hij proxy servers moet gebruiken om anoniem te blijven." Hij denkt dan ook dat daarom onwaarschijnlijk is dat de virusschrijver snel gepakt wordt. De maker van het virus is voor de verspreiding van het virus omzichtig te werk gegaan. Hij heeft waarschijnlijk via een gekraakte pc in Canada met gestolen creditcardgegevens een account aangemaakt bij nieuwsgroepenaanbieder Easynews. Dit abonnement heeft hij gebruikt om een bericht in nieuwsgroepen te plaatsen te doen. Het virus was verstopt in een bijlage van de posting die op het eerste gezicht op een jpeg-afbeelding leek. Doordat bezoekers van de nieuwsgroepen op het `plaatje' hebben geklikt, is de verspreiding van het virus begonnen.