Sircam on mato, joka pystyy leviämään sekä Windowsin jaettujen resurssien että sähköpostin kautta. Se kopioi itsensä eri puolille levyä eri nimisenä ja muuttaa Windowsin rekisteriä siten, että minkä tahansa .EXE-päätteisen ohjelman käynnistyksessä käynnistetään ensiksi SirCam-ohjema.
Mato kerää Windowsin sähköpostiosoitteistosta sähköpostiosoitteita. Samoin keräämistä tehdään Temporary internet files-kansiosta (väliaikaiset internet-tiedostot). Löytämiinsä osoitteisiin Sircam lähettää viestin, johon on liittänyt jonkun levyltä löytyneen tiedoston. Tiedosto voi siis sisältää vaikka kuinka arkaluontoista tietoa.
Lisää tietoa ko. viruksesta osoitteesta http://www.f-secure.fi/v-kuvaus/sircam.shtml
Nimda on tätä kirjoitettaessa (3.10.2001) yksi tuoreimmista ja kompleksisimmista internet-madoista.
Se leviää sähköpostin välityksellä README.EXE-tiedostona. Toimii Windows-käyttöjärjestelmissä
(95, 98, ME, NT4 ja 2000). Kun ohjelman koodi suoritetaan, ohjelma levittää itseään käyttäjän
sähköpostiosoitteiston kautta. Samalla se alkaa pommittamaan www-palvelimia, joiden osoitteita se on
löytänyt käyttäjän html-dokumenteista ja yrittää tarttua näihin:
Nimda on siten ensimmäinen mato, joka muokkaa www-palvelimia siten, että se pystyy levittäytymään niiden kautta. Www-palvelin, johon Nimda voi tarttua, on Microsoftin IIS-palvelin ja siitäkin sellainen versio, johon ei ole tehty tietoturvapäivityksiä. Esimerkiksi Linux- ja Unix-maailmassa paljon käytetty Apache-palvelin ei levitä tätä virusta.
Www-palvelin leviämiseen tarvitaan lisäksi Internet Explorer-selain versio 5 tai 5.5, joihin ei ole asennettu korjauspaketteja. Kun käyttäjä surffaa tällaisella selaimella palvelimella, joka on saastunut, palvelin käynnistää tiedoston noutamisen palvelimelta. Tämänhän ei normaaliolosuhteissa vielä pitäisi aiheuttaa mitään, sillä virusten ja matojen koodi pitää aina suorittaa, että ne voisivat tehdä vahinkoja. Kuitenkin tilanne on se, että aiemmin mainituissa selainversioissa oli alunperin ActiveX-komponenteissa tietoturva-aukko, joka mahdollisti palvelimelta haetun ohjelman välittömän käynnistyksen. Käyttäjä on siis turvassa Nimda-virukselta, jos on päivittänyt yo. IE-selaimet. Muutkin selaimet käynnistävät tiedoston haun, mutteivät suorita viruksen koodia.
Näiden lisäksi lähiverkossa Nimda etsii levyjakoja ja jos löytää sellaisia, joissa on .doc-tiedostoja (Word-dokumentteja). Tällaisessa tapauksessa mato heittää omia tiedostojaan palvelimelle ja tämän jälkeen jos käyttäjä avaa tässä hakemistossa olleen .doc-tiedoston, hän saa Nimdan myös omaan koneeseensa.
Tarkempi kuvaus osoitteessa http://www.f-secure.fi/v-descs/nimda.shtml (englanniksi)