Spam próbujący zachęcić odbiorców do zainstalowania trojana włączającego komputer do botnetu zawiera teraz linki happycards2008.com lub newyearcards2008.com, inne niż te które pojawiły się w drugiej fali ataku Storma z pierwszego dnia świąt Bożego Narodzenia.

Według analityków Internet Storm Center (ISC) SANS Institute, zmianie uległa także nazwa pliku sprowadzanego przez użytkownika, jaka pojawiała się w świąteczny wtorek - "happy2008.exe". Plik "sprzedawany" teraz nosi nazwę "happynewyear2008.exe".

Bardziej istotne jest jednak to, co nie jest widoczne w samej wiadomości: do tej wersji Storma dodawany jest rootkit, który jest umieszczany na zainfekowanej maszynie. Na szczęście rootkit ten jest relatywnie stary i dlatego wykrywalny przez co najmniej część oprogramowania antywirusowego. W opinii niektórych analityków to, że twórcy trojana zmierzają do ukrycia jego komponentów i operacji przed oprogramowaniem antywirusowym nie jest niczym nowym - trojan ten zaczął używać rootkitów już miesiąc temu.

Od poniedziałku, kiedy to pojawił się w najnowszy atak Storma wykorzystujący temat świąt Bożego Narodzenia, kod jego został "przepakowany" setki razy - jest to sztuczka, której twórcy kodu używają do oszukiwania oprogramowania antywirusowego wykorzystującego sygnatury. W tej chwili liczba wykrytych wersji oceniania jest na około czterysta.