Het gevaarlijkste Trojaanse paard van dit jaar, de Storm worm, wordt in tegenstelling tot wat virusonderzoekers eerst meldden massaal verspreid via kerstkaarten. Begin december werd al de eerste besmette kerstgroet gesignaleerd. Het was echter verwachting dat er nog veel meer zouden volgen, en dan met name van de bende criminelen achter de Storm worm, maar dat leek volgens het Finse F-Secure mee te vallen.

De Storm worm maakte dit jaar furore door zich tijdens incidenten en feestdagen te verspreiden, en virusonderzoekers hadden dan ook rekening gehouden dat de kerst geen uitzondering zou zijn. Bij het Finse F-Secure was er zelfs een weddenschap gestart, waarbij analisten de dag van de uitbraak moesten raden. De fles wijn voor de winnaar kan echter tot volgend jaar bewaard worden.

Update 9:37
De fles wijn kan toch uit de koeling gehaald worden, want er doet wel degelijk een Storm kerstkaart de ronde. Het bericht lijkt afkomstig van AmericanGreetings, en heeft als onderwerp "Hello, you just got a Merry Christmas Greeting Ecards". Als de gebruiker de link opent wordt hij doorgestuurd naar een pagina die probeert de "Adobe Flash Player" te installeren. In werkelijkheid gaat het om een variant van de Storm worm, Zhelatin.pe.

Update 2 9:45
Naast de kerstgroet variant worden ontvangers ook verleid met een stripshow van Mrs. Claus. De e-mail heeft verschillende onderwerpen, zoals "Warm Up this Christmas" en "Your Secret Santa". De link in het bericht verwijst naar een website, die een .exe bestand aanbiedt.

De gebruikte domeinnaam is via nic.ru geregistreerd, en wordt gehost op een fast-flux netwerk van tenminste 1000 nodes. Net als met vorige varianten wordt de malware binary elke 15 minuten aangepast.