Cooperative Association for Internet Data Analysisin eli Caidan tutkijat David Moore ja Colleen Shannon arvioivat, että mato oli helmikuun 2. päivään mennessä saastuttanut 470 000 - 950 000 tietokonetta.

Raportissa myös kritisoidaan uutisia, joiden mukaan mato aiheutti vain vähän tuhoja, koska iso osa madon aiheuttamista kustannuksista syntyy saastuneiden koneiden siivoamisesta ja paikantamisesta. Tutkijoiden mielestä vaikutusten vähättelyssä ei oteta huomioon, että madon tuhorutiini käynnistyy jatkossakin joka kuukauden kolmas päivä ja että mato leviää edelleen.

Tiedostoja turmeleva tuhorutiini käynnistyi ensimmäisen kerran viime perjantaina. Tiedostot ovat vaarassa vain, jos kone on käynnistetty uudelleen kyseisenä päivänä.

Yli 90 prosenttia liikenteestä manipulointia

Nyxem-mato ottaa yhteyden eräällä www-sivulla olevaan laskuriin aina saastutettuaan uuden tietokoneen.

Tutkijat poistivat liikennetilastoista ip-osoitteet, joista yritettiin manipuloida laskuria palvelunestohyökkäyksellä. Laskurin lukema kohosi muutamassa päivässä yli neljään miljoonaan, sen jälkeen kun www-sivun osoite tuli julki. Arvion mukaan noin 91 prosenttia laskurin osumista oli peräisin palvelunestohyökkäyksestä.

Noin kahdeksan prosenttia sivupyynnöistä sisälsi referer-tiedon, joka kertoo, että sivulle on siirrytty toiselta www-sivulta. Tutkijat poistivat myös muiden kuin Windows-tietokoneiden tekemät pyynnöt.

Järjestön raportissa esitetään ala- ja yläraja-arvio saastuneiden tietokoneiden määrästä. Tutkijat perustelevat sitä eri verkkolaitteiden kuten NATien ja välimuistipalvelinten aiheuttamalla epätarkkuudella. Esimerkiksi yhden yrityksen sisäverkon saastuneet koneet voivat näkyä vain yhtenä ip-osoitteena listoilla. Tutkijoiden mukaan on edelleen mahdollista, että tilastoihin on jäänyt jälkiä laskurisivun lataamisesta selaimella.

Maakohtaiset tartuntamäärät perustuvat kansainväliseen ip-osoitteiden jakoon. Tutkijat muuttivat DNS-kyselyillä IP-osoitteet myös ylemmän tason verkkotunnuksiksi.