Bằng cách so sánh tổng số máy tính bị nhiễm của mỗi worm trong vòng 24 giờ đầu tiên (hình 23 dưới đây), ta thấy Samy Worm là vượt trội hơn cả. Điều này rất quan trọng để hiểu rằng hầu hết các worm lây nhiễm một thực thể máy tính ở mức hệ điều hành hoặc mức ứng dụng. XSS worm thì lại khác nó chỉ lây nhiễm trình duyệt web. Nhưng XSS có quyền khai thác lỗ hổng của trình duyệt web một cách trực tiếp và có thể khai thác mã trên tầng cao nhất của hệ điều hành và ứng dụng.
Hình 23: 24 giờ đầu lan truyền của các worm
Đồ thị trên đặt ra một câu hỏi là làm thế nào mà Samy có thể phát triển nhanh hơn nhiều so với các worm trước đó mà không gây ra thảm họa tắc nghẽn mạng. Câu trả lời là do XSS worm sử dụng cách lan truyền khác nên không gây ra quá tải mạng cái mà cản trở tốc độ lây nhiễm. Các worm như Code Red, Slammer, Blaster lan truyền bằng cách mỗi host bị nhiễm sẽ phát tán đến một dải địa chỉ Internet IP nhanh chóng nhất có thể (hình 24). Và khi số lượng máy tính bị nhiễm tăng lên, dữ liệu gửi đi làm
cho lưu lượng truyền trên mạng tăng vọt. Sau một thời gian, hiệu lực của nó giảm đáng kể do máy đích hoặc không tồn tại hoặc đơn giản là không bị lỗ hổng. Sau đó, tại một số điểm mạng trở nên quá tải và cuối cùng là nghẽn mạng.
Hình 24: Lây nhiễm peer-to-peer
Còn XSS worm thì lại khác nó có một trung tâm phân phối đó là máy chủ web, và việc thực hiện chỉ xảy ra trong trình duyệt web. Tiếp theo, các mã khai thác chỉ được gửi từ máy chủ web tới trình duyệt hoặc ngược lại (Hình 25), chứ không phải từ trình duyệt tới trình duyệt hay peer-to-peer như các trường hợp worm khác. Đặc tính này làm giảm thông tin thừa gửi đi trong mạng. Ngoài ra, đích của mỗi cuộc tấn công luôn có thực vì khi mỗi trang web được truy cập thì có một nạn nhân thật và nó lây nhiễm không phụ thuộc vào hệ điều hành. Do đó tỷ lệ nhiễm thành công là lớn hơn nhiều.
Hình 25: Lây nhiễm từ máy chủ web tới trình duyệt web
