De "Storm worm" die zich sinds vrijdag verspreidt heeft inmiddels zo'n 300.000 computers geinfecteerd en is daarmee de ergste uitbraak sinds 2005. Sinds het weekend is het aantal infecties flink toegenomen, aldus Symantec. De laatste keer dat malware zich zo snel wist te verspreiden was in mei van 2005 toen de Sober.O mass-mailing worm een gelijk aantal systemen wist te infecteren.

De criminelen hebben echter een nieuwe draai aan de malware gegeven, die nu ook allerlei informatie over "interessante aandelen" bevat. Via de zombies worden talloze "pump and dump" scam spams verspreid. Zoals gisteren al bekend werd heeft de nieuwe versie rootkit eigenschappen, hoewel die niet erg uitgebreid zijn, wat mogelijk aangeeft dat de virusschrijvers haast hadden om de nieuwe versies snel te verspreiden.

Het Trojaanse paard kan verschillende bestanden en registersleutels verbergen door verschillende kernel functies te hooken en de tcpip.sys systeemdriver te patchen. Hierdoor zijn commando's zoals netstat -o en netstat -b niet meer zichtbaar. Door een fout in de rootkit code laat netstat -an wel zien dat poorten 7871 en 4000 open staan.

Verder heeft de virusschrijver zijn code zo geschreven dat die niet wordt uitgevoerd als er Windows Server 2003 draait, waarschijnlijk omdat de criminelen niet genoeg tijd hadden om de malware op dit besturingssysteem te testen. De rootkit driver is ook niet zonder gebreken, en blijkt vol bugs te zitten waardoor het systeem in sommige gevallen crasht en het systeem laat herstarten.

De laatste update is dat de nieuwe varianten onderwerpen van romantische kaarten gebruiken zoals die ook op de bekende kaartensite 2000greetings.com te vinden zijn.