Dopo 10 ore dall'arresto nello scorso venerdì del creatore del worm Sasser, un diciottenne studente di informatica, è stata isolata una nuova variante del suddetto worm.
L'arresto è stato compiuto Venerdì 7 Maggio alle ora 13:00 GMT mentre la prima segnalazione della variante E del worm è stata effettuata lo stesso Venerdì 7 Maggio alle ore 16:45 GMT, circa 3 ore e 45 minuti dopo.
Tuttavia vista la velocità con la quale Sasser si diffonde tutto lascia pensare che ci siano state altre rilevazioni prima di questa data, oppure questa variante non è stata rilasciata dal'autore arrestato (Mr. "SJ").
Il giovane arrestato è sospettato di aver anche scritto il worm NetSky, anche se ciò può suonare strano. Le frasi scritte all'interno del codice delle varianti del worm Netsky lasciavano intendere che il gruppo autore fosse russo.
La variante J del worm NetSky includeva al suo interno la frase "We want to destroy malware writers business, including MyDoom & Bagle. This is the last version of our antivirus. The source code is available soon" (Vogliamo distruggere il giro d'affari degli scrittori di codici nocivi, inclusi MyDoom & Bagle. Questa è l'ultima versione del nostro antivirus. Il codice sorgente sarà presto disponibile).
la variante N del worm invece includeva al suo interno la frase "Thanks to the S*k*y*N*e*t alias *N*e*t*S*k*y* crew for the sourcecode. We have rewritten *N*e*t*S*k*y.Our group will continue the war. We are greeting all russia people!" (Grazie al gruppo S*k*y*N*e*t alias *N*e*t*S*k*y* per il codice sorgente. Abbiamo riscritto *N*e*t*S*k*y. Il nostro gruppo continuerà la guerra. Salutiamo tutta popolazione russa!).
Già da queste due frasi sembra che gli autori delle varianti del worm siano cambiati e tutto lascia pensare ad un gruppo russo, sospetto che viene confermato leggendo la frase all'interno della variante Q del NetSky: "Best regeards, the SkyNet Antivirus Team, Russia 05:11 P.M". Addirittura nella variante R si può leggere all'interno del codice la frase "Thanks To all people in cz and russia", che lascia pensare ad un coinvolgimento della Repubblica Ceca.
Quindi se veramente tutte le varianti provenissero da una sola fonte, tutti i discorsi relativi al gruppo e alla Repubblica Ceca e alla Russia avrebbero solo la funzione di confondere le idee, il che non sarebbe una novità. Tuttavia ci sono altre circostanze che lasciano pensare a differenti autori.
Venerdì tuttavia è stato un giorno nero per i virus writers tedeschi: sempre in Germania è stato arrestato contemporaneamente all'autore del worm Sasser anche l'autore del worm Phatbot/Agobot (o delle sue varianti). Il 21enne accusato di aver scritto il worm è stato arrestato a Lörrach.
Tuttavia il codice sorgente del worm PhatBot è online, quindi è difficile sperare che non verranno diffuse nuove varianti del worm.