Похоже, что создатель червя последовательно разрабатывал одну идею, но время от времени отвлекался на посторонние вопросы и прерывал работу. Внезапно он останавливался в написании кода и продолжал новую идею по другому пути, никогда не доводя ее до конца. Получалась шизофреничная структура программы. И это было повсеместно.
МакМахон задавался вопросом: делал ли автор это специально, чтобы усложнить понимание действий червя? Может быть он думал, что код был слишком понятен и прямолинеен.
Оберман придерживался другого взгляда. Он думал, что изменчивый стиль программирования в разных частях программы был оттого, что разработкой червя занималось несколько человек. Он знал, что когда программист пишет код, он не делает множество мелких изменений в стиле программы без всякой причины.
Кевин Оберман и Джон МакМахон срывали идеи друг у друга. Оба разрабатывали свой собственный анализ. Оберман подключил к процессу Марка Калетку, администратора внутренней сети лаборатории Ферми, одного из крупнейших сайтов в HEPNET. Червь содержал большое число уязвимых мест, но проблема стояла в нахождении одного, которое могло быть использовано для защиты компьютеров, и побыстрее.
Всякий раз, когда машины VMS запускают какой-нибудь процесс, компьютер даёт ему имя. Когда червь пролезал в компьютер то первое, что он делал - проверял, работала ли на компьютере какая-нибудь другая его копия. Процесс червя всегда был под именем NETW_ с последовательностью 4-х случайных цифр. Если пришедший червь обнаруживал это имя процесса, то предполагал, что другая копия червя уже запущена и самоуничтожался.
Антивирус, наверное, был похож на утку для приманки.