A november egyik legérdekesebb újdonsága a Bofra.b, amely a Mydoom forráskódjára épül, de elegendő módosítást tartalmaz ahhoz, hogy külön családot hozzon létre. Sok szállító hosszú ideig azt gondolta, hogy a féreg csupán a Mydoom egy újabb verziója, de végül egyetértés született arról, hogy a féreg egy olyan új rosszindulatú alkalmazás, amely saját nevet érdemel. Azért jutottak erre a döntésre, mert a Bofra másképp támadja meg a számítógépeket, mint a Mydoom. A Bofra egy http szervert indít el a megfertőzött számítógépen, majd ezen a szerveren megnyit egy speciális felépítésű html oldalt. Az oldalt úgy készítették el, hogy kihasználja az Internet Explorer egyik IFrame puffer-túlcsordulást okozó biztonsági hibáját. A Bofra által küldött e-mailek nem a féreg másolatát, hanem egy már megfertőzött számítógépre mutató hivatkozást tartalmaznak. Ha a felhasználó a hivatkozásra kattint, a számítógép megjeleníti a fertőzött oldalt és a Bofra bejut a számítógépre.

Az e havi húszas lista másik új belépője a Sober.i. Felhasználók milliói (főként Németországban és Ausztriában, de más európai országokban is) megkapták a féreg legújabb variánsát levélben, amely kisebb járványt okozott a Kontinensen. A támadás a féreg kódjában található hibáknak köszönhetően rövid életű volt. A hibák miatt a féreg saját maga helyett értelmetlen adatokat küld el e-mailben.

A koreai LovGate.w féreg hosszú ideje tagja az első húsz kód listájának. Ebben a hónapban azonban új formában is megjelent LovGate.ad néven. Ezt a variánst 2004 júliusában észlelték először, de mostanáig nem került fel a listára. A húszas lista más férgeivel ellentétben nem kéretlen levelekkel terjed, hanem egy hagyományosabb módszert használ, mivel kezdetben csak néhány fertőzött számítógépről fertőz, majd fokozatosan jön lendületbe. Az a tény, hogy a LovGate ebben a hónapban a 6. és a 18. helyet foglalta el, bizonyítja terjedési módszerének hatékonyságát.