Čtyři středně závažné výskyty malwaru, nový způsob internetového vydírání a první spojení červa se spywarem zaznamenalo v období od 21. dubna 2005 do 20. května 2005 centrum WTC (World Tracking Center) společnosti Trend Micro sledující celosvětový výskyt malwaru a graywaru. První útok druhého čtvrtletí zneužíval nabídku volňásků na sportovní zápasy. Tvůrci červa WORM_SOBER.S využili rostoucí zájem o nastávající světový fotbalový šampionát v Německu a v e-mailu, kterým se červ šíří, přesvědčují příjemce, že vyhráli volné vstupenky na zápasy mistrovství.

Devátého května se WORM_MYTOB.ED stal první variantou červa Mytob, kvůli němuž bylo vydáno varování. Zhruba o třináct hodin později bylo varování se stejným stupněm závažnosti vydáno i pro variantu WORM_MYTOB.EG. V dalším případě červa WORM_WURMARK.J nejde sice o průlomové řešení, přesto vykazuje tento malware jisté pozoruhodné znaky. Do nakažených systémů umisťuje komerční spyware a může zaznamenávat úhozy na klávesy a klikání myší. Spywarem, který Wumark umisťuje do nakaženého počítače, je TSPY_AGENT.C. Nový rychle se šířící trojský kůň TROJ_PGPCODER.A zašifruje soubory v napadeném počítači a jeho uživateli zanechá zprávu, jak si má počínat, aby získal dekodér umožňující soubory znovu používat.