Een nieuwe mogelijke variant van de Scob-worm, die zich in juni verspreidde via IIS-servers, maakt gebruik van instant messengers om zich over het internet te bewegen. Door berichten te sturen via ICQ of AOL Instant Messenger worden gebruikers naar geïnfecteerde websites gelokt, zo lezen we op Computerworld. De berichten kunnen afkomstig zijn van vreemden, maar ook van bekenden die in de buddylijst staan. Wanneer de ontvanger op een link klikt, wordt hij naar een geïnfecteerde website gelokt die gehost wordt in Uruguay, Rusland of de Verenigde Staten. Vanaf de website wordt een Trojan gedownload, die een backdoor opent en de openingspagina van de webbrowser verandert in een erotische getinte site.
De websites zijn geïnfecteerd via een lek in Microsofts IIS, en maken gebruik van lekken in Internet Explorer en Outlook. Deze laatste twee gaten zijn in 2003 al door Microsoft gepatcht, maar kunnen natuurlijk wel een probleem vormen voor systemen die niet up-to-date zijn. Thor Larholm van PivX Solutions zegt dat het mogelijk is dat deze nieuwe malware afkomstig is van dezelfde personen die ook verantwoordelijk zijn voor de Scob-aanval. De code is genoeg gelijkend op die van Scob om eraan gerelateerd te zijn, maar anders genoeg om op zichzelf te staan, zo zegt hij. Net zoals de Scob-worm is deze kronkelaar uit op geld, zij het nu niet via bankrekening- en creditcardnummers maar via reclame-inkomsten.