Sono state segnalate dai maggiori produttori di antivirus nuove varianti del worm Sober apparso per la prima volta nell'ottobre 2003. F-Secure ha identificato quattro nuove varianti di Sober. Kaspersky parla di tre varianti. comunque il codice maligno arriva come allegato a un messaggio di posta elettronica. Il messaggio viene distribuito con il campo oggetto vuoto oppure con scritte in inglese o tedesco (ad esempio: Registration Confirmation oppure Haben Sie diese EMail verschickt). Nel corpo del messaggio può essere riportata la seguente frase che invita l'utente ad aprire il file allegato: Thanks for your registration. Your data are saved in the zipped Word.doc file!.
I nomi degli allegati identificati fino adesso sono i seguenti: Exceltab-packed_list.exe; Liste.zip; Reg-List-Dat_Packer2.exe; reg_text.zip; Word-Text.zip; Word-Text_packedList.exe; Word-Text_packedList.zip.
Il worm si attiva solo se l'utente apre l'allegato. L'avvio del file visualizza un falso messaggio di errore (WinZip Self-Extractor. WinZip_Data_Module is missing ~Error). Dopodiché, il worm fa una copia di se stesso nella cartella di sistema di Windows e aggiorna il Registry per l'avvio automatico a ogni boot di Windows. Il worm utilizza un proprio motore interno SMTP per inviare e-mail di spamming, con l'obiettivo di intasare i mail server e compromettere le performance di rete. Maggiori informazioni sul worm sono disponibili, fra gli altri, sui siti di F-Secure, Symantec, Trend Micro.

L'azienda antivirus Trend Micro informa con un bollettino ufficiale l'individuazione di un nuovo Trojan che attacca i sistemi operativi Windows 2000 aggiornati al Service Pack 4, Windows XP (incluso SP2) e Server 2003. Il trojan una volta andato in esecuzione causa il crash della shell di Windows (in particolare, del file explorer.exe) sulle macchine sprovviste dell'aggiornamento MS05-053. Il Trojan identificato da Trend Micro comunque conduce esclusivamente un attacco denial-of-service e non è stato ancora appurato se per farlo venga sfruttato il codice exploit pubblico.

La Panda Software ha emesso un comunicato in cui si informava l'utenza della diffusione di un un nuovo trojan che si diffonde attraverso documenti Word contenente informazioni sull'influenza aviaria. Il trojan Naiva.A si serve di due macro Word per installare ed eseguire un secondo maligno, Ranky.FY, nel PC. La prima macro va a modificare e cancellare file attraverso la chiamata a cinque funzioni del kernel. La seconda macro installa il codice Ranky.FY, permettendo il controllo del sistema infetto da remoto.
La difesa contro questi trojan, anche se definiti di livello basso, è quella di impostare a "medio" oppure "elevato" il livello della protezione delle macro (lanciare Word, e seguire la procedura come segue: dal menù Strumenti, Marco, Protezione). In questo modo, quando verrà avviato un documento in cui vi siano state inserite delle macro verrà visualizzato un avviso prima che la macro vadano in esecuzione. Nel caso in cui il livello di protezione sia stato impostato a livello basso, all'apertura del documento il trojan verrà installato nel PC.