Zastavme se nejprve u viru Win32:Sircam, kterému se nedostalo tak obrovské publicity, ale který může být pro normálního uživatele daleko nepříjemnější. Jedná se o klasický worm (červ), který se šíří aktivně pomocí elektronické pošty. Do počítače přichází jako soubor, připojený ke zprávě, kterou sám vytvořil a odeslal. Tento soubor má zdvojenou příponu (například soubor.doc.com), přičemž ta druhá určuje, že se jedná o spustitelný program a přitom není systémem Windows implicitně zobrazována. Předmět zprávy obsahuje název souboru a tělo jednu ze čtyř anglických nebo španělských vět (například žádost o radu). Po spuštění maskuje svoji činnost tím, že z připojeného souboru zrekonstruuje původní soubor, který se pokusí otevřít v příslušné aplikaci (nebo jej spustí, pokud jde o program). Při odesílání worm vybere náhodný soubor z adresáře „My documents“, připojí jej za sebe a přes vlastní knihovnu se odešle na adresy, které nalezne v adresáři Windows a v dočasně uložených souborech z Internetu (cache). Pro své šíření tedy nepotřebuje Outlook. Je také schopen se šířit přes lokálně sdílené disky, pokud to jejich nastavení umožňuje.

Tento worm se opravdu stal králem veškerých zpravodajství. Kvůli němu byl předpovídán naprostý kolaps Internetu a konec elektronického obchodování. K tomu všemu samozřejmě nedošlo, přesto jeho výskyt může Internet dlouhodobě ovlivnit. O co se tedy jednalo? Jedná se o takzvaný pravý worm, který ke svému šíření nepotřebuje žádné uživatele spouštějící přílohy elektronické pošty, ale který využívá bezpečnostních děr operačních systémů či aplikací. V tomto případě se jednalo o přetečení bufferu v aplikaci Microsoft IIS Web Server. Tato díra byla odhalena již v červnu a Microsoft vydal speciální záplatu (patch), který problém odstraňuje, ne všichni ji však bohužel aplikovali. Worm přichází jako požadavek HTTP, ale zmíněná chyba způsobí to, že je kód viru spuštěn. Ten okamžitě spustí dalších 99 úloh, které vyhledávají příští oběti. Od 20. do 28. dne v měsíci pak provádí distribuovaný útok na počítač www.whitehouse.gov – naštěstí pomocí fixní IP adresy, takže ji stačilo změnit, a útok se minul účinkem. Po 28. dni v měsíci se deaktivuje. Bohužel od 1. dne následujícího měsíce může dojít k nové reaktivaci, a tak se celý cyklus opakovat. Během několika hodin dne 19.7. byl virus schopen napadnout kolem 300 000 počítačů. Pak se přestal šířit a nikdo nevěděl, co se přesně stane 1.8. To, že nenastal skutečný konec Internetu, má řadu příčin: ne celý Internet používá MS IIS Web Server (spíše naopak), řada správců po rozsáhlé kampani aplikovala příslušný patch a reinfekce probíhala mnohem pomaleji než se čekalo. Přesto byly opět infikovány statisíce počítačů.

Proč tedy takový humbuk? NIPC (instituce podřízená FBI) se připravuje na slyšení před senátem a chce ukázat výsledky, letní sezóna mnoho jiných katastrof nenabízí, Microsoft chce ukázat, jak se stará o uživatele (odstranění chyby je vydáváno za antivirový prostředek!). Worm sice zasáhl řadu počítačů především v USA a v Asii (vede Jižní Korea), ale jinak vážné komplikace nezpůsobil. Worm vůbec nenapadá domácí počítače a pracovní stanice, na nichž nepracuje zmíněný MS IIS Web Server, nikde se neukládá do souborů a po použití záplaty stačí infikovaný počítač restartovat.

Daleko horší věc se objevila v posledních dnech. Jak se mezi odborníky čekalo, objevila se další varianta wormu, která už zdaleka není tak neškodná. Je nebezpečná zejména tím, že do napadeného počítače instaluje další program: trojského koně, který pak může fungovat jako zadní vrátka a může umožnit neautorizovaný vstup do napadeného systému. Na rozdíl od původní varianty nepodstrkává nový worm uživatelům modifikované WWW stránky ani neprovádí distribuovaný útok na jediný počítač (Bílý dům), jeho jediným cílem je dostatečně rozšířit počet počítačů se zadními vrátky do systému. Pokud se mu podaří napadnout podobný počet počítačů jako původnímu wormu (kolem 300 000), pak může být vážně ohrožena integrita Internetu: tak velký počet serverů, nad nimiž může mít kontrolu třetí strana, znamená obrovské bezpečnostní riziko. Správci takových systémů navíc nemohou mít jistotu, zda jim pomocí těchto zadních vrátek někdo nepřidal do systému něco dalšího. A tak zatímco proti původnímu wormu stačilo uplatnit příslušnou záplatu a server přestartovat, v tomto případě je nejspolehlivější metodou přeformátování disku a nová kompletní instalace systému.