По данным «Лаборатории Касперского», червь Nocana, также известный как Naco, распространяется двумя способами: через электронную почту в виде прикрепленных файлов и по P2P-сетям. Опасный файл может быть назван различными именами: The Matrix Reloaded.jpg.exe, The Matrix Evolution.mpg.exe, The Matrix Reloaded Preview.jpg.exe.

Реальное .exe-имя файла во вложении скрыто ложным .jpg-именем при помощи дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит как .jpg-файл, однако при открытии этого вложения оно обрабатывается как exe-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. Nocana останавливает и выгружает активные процессы некоторых антивирусов и межсетевых экранов. Червь записывает свои копии в каталоги обмена файлами сетей KMD, Kazaa, Morpheus, Grokster, BearShare, Edonkey2000 и Limewire.

Nocana - «родственник» червя I-Worm.Melare. Известно несколько версий Nocana, которые незначительно отличаются друг от друга: Nocana.a (около 29K, упакован UPX, размер распакованного файла - около 80K), Nocana.b (около 86K), Nocana.c (около 32K, упакован UPX, размер распакованного файла - около 100K).

По некоторым числам месяца - 1, 4, 8, 12, 16, 20, 24 и 28 - червь случайным образом выполняет одно из следующих действий: