Secondo Symantec il trojan diffusosi negli ultimi giorni sulla scia del ciclone Kyrill è il peggiore registrato online dal 2005, quando solo Sober.O era riuscito nell’impresa di infettare circa 300.000 computer (parola di Patrick Martin, responsabile del Symantec Security Response). La forza del cosiddetto «storm trojan» è nell’uso di contenuti che fanno riferimento all’attualità, portando così l’utenza al click, all’infezione ed al rilancio del messaggio.
Il trojan si è già presentato in varie forme. Dapprima il messaggio era relativo a Kyrill: approfittando con indubbia reattività del momento, il trojan si è diffuso con titoli quali “230 dead as storm batters Europe” e sulla scia dei timori seminati dal ciclone. In seguito il messaggio è cambiato, suggerendo notizie quali missili cinesi verso gli USA, la morte di Fidel Castro o la scoperta che Saddam Hussein sia ancora in vita. L’allegato (la cui apertura scatena l’infezione secondo le tradizionali modalità del canonico malware inviato via mail) ha cambiato più volte denominazione nel tempo ed i dettagli sulle ultime forme assunte dal trojan sono ora costantemente aggiornate sul blog Symantec.