Ormen sprer seg gjennom kjente sikkerhetshull i henholdsvis Suns operativsystem Solaris og Microsfts Internett-tjener IIS. Hullet i Solaris' administrasjonsprogram Solstice sadmind har vært kjent i to år, og Sun har for lengst sendt ut både advarsel og fiks. IIS-hullet har vært kjent og fikset i sju måneder. Problemet er at driftsansvarlige ofte ikke følger opp leverandørenes sikkerhetsvarsler.
_logo.svg.png){kind=logo}
Sadmind/IIS sprer seg fra Solaris-tjener til Solaris-tjener, og bruker hver Solaris-tjener til å lete etter IIS-tjenere. Disse tagges med slagord av typen "Fuck USA Government". Ormen antas å være et våpen i den pågående krigen mellom kinesiske og amerikanske nettaggere.
En egenskap med ormen er at etter hvert som den sprer seg, samler den på IP-adressene som den har infisert. IP-adressene som Attrition.org har mottatt, antas å stamme fra en slik liste.
Attrition.org har identifisert og kategorisert 2.247 av listens 8.836 IP-adresser. 792 er testet, og 399 er bekreftet smittet. Attrition.org antar at samtlige har vært smittet, og at de 393 smittefrie er det fordi de ansvarlige har gjennomført nødvendige mottiltak. 890 av de identifiserte adressene betegnes som "personlige" og er ikke testet. Den høye andelen personlige adresser gjenspeiler at mindre sikkerhetsbevisste tjenere har en tilsvarende større sjanse til å bli smittet.
En talsperson for Attrition.org advarer i et intervju med ZDNet at adresselisten stammer fra én orm. Etter hvert som ormen sprer seg, samler hver avlegger egne adresser. Derfor må det antas at 8.800 infiserte tjenere er et minimum, sannsynligvis bare en brøkdel av det faktiske tallet.
