Ifølge sikkerhedsfirmaet CSIS spredes den nye internet-orm Guapim fra en dansk webserver, som befinder sig på en ip-adresse der tilhører et firma, hvis webservere hostes hos Song Networks. Indtil videre findes ormen kun i en enkelt variant, men det ventes at flere vil blive frigivet.
Guapim bruger blandt andet AOL Instant Messenger (AIM) til at sprede sig. Det sker via et link til et domæne, der ejes af et dansk firma.
CSIS fortæller at man har taget kontakt til firmaet og TDC's sikkerheds-afdeling, som håndterer misbrug af domæner under Song Networks.
Internet-ormen forsøger blandt andet at deaktivere den indbyggede firewall i Windows XP på inficerede systemer og ændrer den såkaldts hosts-fil for at forhindre, at antivirus-programmer kan hente opdateringer.
Selvom ormen spredes fra en dansk webserver, er det langt fra sikkert, at virus-programmøren skal findes i Danmark. Skadelige kode bliver ofte spredt fra vilkårlige kompromitterede servere for at sløre sporene og gøre det sværere at stoppe angrebet.