Od niedzieli można zaobserwować intensywne skanowanie portu 5000/TCP z bardzo wielu źródeł. Łącznie pracownicy CERT.pl zaobserwowali ponad 16 000 źródeł, natomiast SANS Institute mówi nawet o 500 000. Prawdopodobnymi sprawcami skanowań są dwa robaki (a dokładniej boty/trojany): Bobak oraz Kibuv.B.

Trojan Bobak jest zdalnie sterowany i rozprzestrzenia się tylko na polecenie autora. W celu otrzymania poleceń kontaktuje się z określonymi URLami. Wykorzystuje port 5000/TCP do rozpoznania systemów Windows XP. W przypadku stwierdzenia otwartego portu 5000/TCP (co, zdaniem autora trojana, identyfikuje system jako XP), usiłuje włamać się do systemu poprzez znaną już lukę związaną z LSASS (port 445/TCP). Posiada rozbudowane funkcje rozsyłania spamu, i właśnie budowa rozległej sieci do spamowania wydaje się być głównym przeznaczeniem trojana.

Drugi trojan, Kibuv.B, oparty jest na rodzinie Sdbot, i jest sterowany za pomocą IRC. Może wykorzystywać szereg luk, w tym między innymi lukę w LSASS, Sasserze, a także w UPnP (port 5000/TCP) opisaną w MS01-059. Otwiera także backdoora na porcie 420/TCP i serwer FTP na porcie 7955/TCP.

Obecnie trudno jest stwierdzić, który z tych trojanów jest odpowiedzialny za większość ruchu na porcie 5000/TCP.