Интернет - червь Helkern (другие названия - Slammer, Sapphire, SQLSlammer), поразивший около 80 тысяч серверов по всему миру 24 - 25 января, появился на несколько дней раньше первых сообщений о нем в СМИ и на сайтах производителей антивирусного программного обеспечения.

Первый случай обнаружения пакетов данных, похожих на копии червя, был зафиксирован "Лабораторией Касперского" в 22:07 по московскому времени 20 января. Данные были отправлены с компьютера, принадлежащего одному американскому провайдеру. Это не означает, что Helkern был создан сотрудниками этой компании - вполне возможно, сервер был удаленно заражен создателями червя. Вероятно, истину о происхождении червя удастся найти в файлах - отчетах обращений к этому серверу.

Немного позже в тот же день код Helkern был обнаружен в запросе от сервера в Нидерландах. После этого червь никак не проявлял себя вплоть до 23:21 23 января, когда в запросе от другого голландского сервера была зарегистрирована еще одна его копия. Взрыв активности Helkern произошел только в ночь с 24 на 25 января. Таким образом, инкубационный период червя составил почти 5 дней. За это время вредоносная программа, используя порт 1434 UDP, успела заразить критическое количество серверов и вызвала цепную реакцию.

Согласно еще одной версии, эпицентр червя находился в Китае. Оттуда он проник в компьютерные системы в Южной Корее и на Филиппинах. Затем Helkern достиг западной и центральной частей США и разделился на два потока: первый перекинулся в Австралию и Новую Зеландию, второй - в Западную Европу.

По состоянию на вечер 27 января география распространения червя выглядела следующим образом (в скобках указано количество зараженных серверов в каждой стране от общего числа зараженных серверов): США (48,4%), Германия (8,2%), Южная Корея (4,9%), Великобритания (4,9%), Канада (4,9%), Китай (3,3%), Нидерланды (2,7%), Тайвань (2,7%), Греция (2,2%), Швеция (2,2%). Правоохранительные органы Южной Кореи и ФБР объявили о проведении расследования по факту эпидемии червя Helkern.