Aunque las noticias que se tienen de esta amenaza vienen de informes independientes, a fecha de hoy ninguno de los principales desarrolladores de software anti-virus han señalado nada al respecto.

Estos informes vendrían a demostrar que el gusano trata de localizar a través de Internet equipos comprometidos por la vulnerabilidad que afecta a los sistemas IIS de Microsoft y para la que existe parche. En su momento, Microsoft ya alertaba de que este error en su software permitiría a un atacante obtener un control total del equipo atacado.

Asimismo, eEye Digital Security, quién hiciera el descubrimiento del agujero de seguridad en IIS, en un análisis preliminar de informes y de una copia del programa obtenidos de las víctimas, sugiere que podría tratarse de un gusano que se difunde a si mismo en equipos vulnerables y que automáticamente daña las páginas iniciales de los sites por una pantalla con el texto "Welcome to http://www.worm.com! Hacked by Chinese!".

Pero ahí no acabaría el tema, después de infectar el sistema, el gusano seguiría buscando de manera aleatoria nuevos sistemas donde introducirse. Además de la desconfiguración de las páginas, el código maligno también presenta muestras de estar programado para dejar puertas abiertas que permitieran a un pirata acceder directamente al servidor.

El código maligno se puede identificar por sus intentos de acceso al archivo dañado default.ida del sistema atacado ISS. Por otro lado, también tiene un enlace a la web worm.com, cuya participación en el proceso del gusano sigue siendo un misterio. No en vano el propietario del dominio, Roy Messer, en declaraciones a Newsbytes.com, afirmó que no tenía nada que ver con el tema y que además había recibido varias llamadas de administradores de sistemas afectados por este código. De hecho su página no hace otra cosa que enlazar con el buscador de goto.com.

El ISP donde se alberga worm.com si ha podido comprobar cientos de intentos de accesos desde Asia a este site, lo que incluso podría haber provocado un ataque de denegación de servicio al servidor por exceso de tráfico.

Por otro lado, también se puede afirmar que el nuevo gusano se asemeja a Sadmind, que apareció en mayo de este año y que se aprovechaba de vulnerabilidades en los servidores basados en sistemas Solaris de Sun Microsystems e IIS de Microsoft. Pero en este caso, las páginas de inicio son sustituidas por mensaje anti-americanos.

Debido a que la información sigue siendo escasa, la recomendación para los usuarios es que no sólo parcheen sus sistemas IIS cuanto antes, sino además, instalar en sus equipos soluciones anti-virus lo más actualizadas posibles.