Trend Micro (Nasdaq: TMIC, TSE:4704) musste im November zweimal einen globalen Yellow Alert auslösen, um der Verbreitung von WORM_SOBER.AG und WORM_MYTOB.MX entgegenzutreten. Durch angepasste Nachrichtentexte in Landesprache stellte die SOBER-Variante eine ernste Bedrohung für deutsche Anwender dar. Darüber hinaus versuchte der Malicious Code, den Microsoft Windows Virenschutz zu deaktivieren. Bei WORM_MYTOB.MX handelte es sich hingegen um einen typischen Bot-Wurm, der auf infizierten Systemen Hintertüren für weitere Angriffe öffnet. Zu den wichtigen Ereignissen des Novembers gehört zudem die Zweckentfremdung eines Musik-CD-Kopierschutzsystems von Sony-BMG durch Malware-Programmierer.
Am 21. November 2005 warnten die TrendLabs, das weltweite Netzwerk der AntiViren-Forschungszentren von Trend Micro, mit einem Yellow Alert vor der Verbreitung von WORM_SOBER.AG in Deutschland, den USA, Kanada, Belgien und Neuseeland. Der Wurm erkennt die Länder-Domain .DE sowie die Adressen des hierzulande populären Freemail-Providers GMX und verwendet für infizierte eMails dementsprechend deutsche Nachrichtentexte, wodurch Anwender noch effektiver getäuscht werden können. Zur Verbreitung benutzt der Wurm eine eigene SMTP (Simple Mail Transfer Protocol) Engine, sodass Anwender den Versand infizierter eMails von ihrem System aus meist nicht einmal bemerken. Darüber hinaus versucht WORM_SOBER.AG, das Virenschutzprogramm mrt.exe (Microsoft Windows Malicious Software Removal Tool) zu beenden, um den Computer anfälliger für Angriffe zu machen.
WORM_MYTOB.MX, vor dem Trend Micro kurz darauf am 24. November warnte, ist ein typischer Vertreter der Kategorie Bot-Wurm. Die Malware verbreitete sich vor allem in Osteuropa, Deutschland, Spanien sowie Österreich und verfügt ebenfalls über eine eigene SMTP-Engine. Damit ist WORM_MYTOB.MX in der Lage, Kopien von sich als eMail-Anhang zu versenden, ohne Mail-Programme wie Microsoft Outlook zu Hilfe zu nehmen. Auf infizierten Systemen versucht der Wurm auch Hintertüren zu öffnen: Dazu verbindet sich der Malicious Code mit einem IRC-Server (Internet Relay Chat) und wartet dort auf Befehle des Malware-Programmieres, der so die Kontrolle über das System übernehmen kann.
Malicious Codes zweckentfremden Musik-CD-Kopierschutz von Sony-BMG Der Fall von Sony-BMG zeigte im November erneut, dass Malware-Programmierer heute jede sich bietende Gelegenheit raffiniert für die Verbreitung ihrer Malicious Codes ausnutzen. Sony entwickelte diese Software ursprünglich, um einen Kopierschutz auf ihren Musik-CDs zu integrieren. Das einem Rootkit ähnliche Programm integriert sich als Gerätetreiber in das Betriebssystem und versteckt alle Dateien, deren Namen mit der Zeichenfolge $sys$ beginnen. Nach Bekannt werden der Rootkit-Funktionalität wurden verschiedene Malicious Codes entdeckt, die diese Funktion zweckentfremdeten und so auf Systemen nahezu unsichtbar waren. Trend Micro Lösungen mit dem aktuellen Grayware-Pattern erkennen das Sony "Rootkit" als RTKT_XCP.A.