FBI bekræftede for 10 dage siden, at de analyserer MSBlaster for at spore ormens kilde og ophav, men ønsker ikke at kommentere, hvor langt de er nået med opklaringsarbejdet.
De samme meldinger kommer fra engelske National High Tech Crime Unit, der ikke ønsker at oplyse om andet end, at organisationen arbejder på at spore ophav og kilde til ormen.
Efterforskerne er kommet på en svær opgave, netop fordi ormene har haft stort held til at sprede sig og der på den måde efterlades et hav af spor, der skal undersøges. De fleste af disse forventes at være blindspor, der ikke fører til ormenes ophav.
I visse tilfælde, som for eksempel med virusserne "I love you" og "GoKar", førte kommentarer i viruskoden til afsløring af virussernes ophav.
MSBlaster indeholder tekst på fejlfrit engelsk, hvorfor analytikere fra antivirusselskabet F-Secure mener, at ormens ophav er et af de engelsktalende lande.
Nachi indeholder derimod kinesiske ord og navne, hvorfor analytikere fra antivirusselskabet Network Associates har udtalt, at den muligvis stammer fra Kina.
Sobig-F efterlader endnu færre spor end de to andre orme. Det antages, at den har sin oprindelse i et spammiljø, fordi den indeholder kode, der minder om den type kode, der anvendes til udsendelse af spam.
Sobig-F spreder en stor mængde e-mails på kort tid og åbner en bagdør, der kan anvendes til fremtidig opdatering af sig selv og til at give uvedkommende adgang og kontrol over inficerede systemer, blandt andet til nye e-mail-udsendelser.