Un nuovo worm si sta diffondendo in rete che si chiama Mankx o W32.HLLW.Mankx@mm modificato W32.Sobig.B@mm che viene veicolato attraverso la posta elettronica e si presenta sotto forma di una falsa e-mail proveniente dal supporto tecnico di Microsoft. Il virus, infatti, una volta che ha infettato una macchina, si "autospedisce" a gran parte degli indirizzi di posta elettronica reperiti nei file .wab, .dbx, .htm, .html, .eml e .txt memorizzati sul disco fisso, allegando il proprio codice virale all'e-mail ed inserendo, quale mittente, l'indirizzo support@microsoft.com. Mankx non prova danni rilevanti ma si limita a modificare alcune chiavi del sistema.

Il Network Associates ha assegnato una valutazione di rischio media sia per gli utenti Corporate che per gli utenti Home al nuovo Worm appena scoperto. Si tratta del worm mass-mailing W32.HLLW.Fizzer@MM Il worm è dotato di varie componenti e di un timer interno per avviare più processi in momenti diversi: Il worm si auto invia agli indirizzi prelevati in più punti:
-Lista dei contatti di Outlook - Windows Address Book (WAB) -Indirizzi trovati sui sistemi locali
-Indirizzi creati a caso -IRC bot (Internet Relay Chat) -AIM bot (AOL Instant Messenger) -Keylogger -KaZaa worm -HTTP server -Remote access server -Meccanismi di auto-aggiornamento - Anti-virus software termination.
Il worm perviene nelle caselle di posta elettronica sotto forma di allegato con diverse tipologie di messaggio. L'indirizzo del mittente può essere modificato cosicché il messaggio sembra provenire da altri mittenti. il corpo del messaggio e l'oggetto possono variare come anche il nome degli allegati. Gli allegati hanno un'estensione eseguibile standard (.com, .exe, .pif, .scr). Alcuni esempi di messaggio: Oggetto: why? - Corpo: The peace - Allegato: desktop.scr - Oggetto: Re: You might not appreciate this... Corpo: lautlach Allegato: service.scr
Una volta aperto l'allegato, il worm si attiva estraendo i file dalla directory di Windows (%WinDir%)
Come si propaga: Dopo qualche minuto, il worm aziona il proprio motore SMTP per auto inviarsi a tutti gli indirizzi presenti sulla rubrica di Outlook. Si auto-invia inoltre a indirizzi creati a caso. L'oggetto e il corpo del messaggio sono costituiti da una lista estesa di parole e frasi in Inglese e in Tedesco. Il nome dell'allegato è tratto anch'esso da una lista di sostantivi seguiti da un numero e successivamente dall'estensione .com, .exe, .pif, or .scr. Inoltre i nomi dei file possono essere scelti copiando il nome di un file valido che si trovi sulla macchina infettata del mittente (ie.desktop.ini -> desktop.scr).

Il worm SoBig si sta diffondendo rapidamente. Si diffonde via e-mail inviandosi automaticamente a tutti gli indirizzi di posta elettronica che sono memorizzati nella rubrica. Per verificare se il sistema è stato infettato fare ricercare con Start/Trova il file Winmgm32.exe. Non cancellarlo ma utilizzare il programma studiato per rimuovere il worm.

W32.SQLExp.Worm è un worm che colpisce i sistemi con Microsoft SQL Server 2000, e Microsoft Data Engine (MSDE) 2000, inviando 376 byte alla porta UDP 1434, la porta del servizio SQL Server Resolution. A causa del consistente numero di pacchetti inviati il worm provoca involontariamente un attacco Denial of Service. Il Symantec Security Response consiglia caldamente a tutti gli utenti di Microsoft SQL Server 2000 o di MSDE 2000 di verificare l'eventuale presenza sulle proprie macchine delle vulnerabilità segnalate negli articoli Microsoft Security Bulletin MS02-039 e Microsoft Security Bulletin MS02-061.

Un nuovo worm si sta diffondendo rapidamente in rete. Si stima che abbia già raggiunto i computer di 133 paesi ed abbia infettato già 50 mila macchine. L'italia è tra i paesi più colpiti. Il virus arriva come allegato nella posta elettronica (.mmf .nch .mbx .eml .tbb .dbx .ocsed) è in grado di propagarsi su condivisioni di rete; Il Worm è polimorfico ed è anche in grado di infettare una lista di file eseguibili selezionati. Esso memorizza ciò che viene digitato tramite tastiera; ha funzionalità di backdoor (vale a dire: consente il controllo remoto del computer da parte di terzi) cerca di interrompere i processi di numerosi programmi antivirus e firewall.