CERT claimt een groot aantal meldingen te hebben ontvangen en bevestigde dat de worm `in het wild' gesignaleerd is. Maandagochtend vroeg begonnen de meldingen binnen te komen bij CERT. Het bekendste geval is de site van de Britse tv-nieuwsdienst ITN. De site werd gedefaced met een tekst waarin tekeer werd gegaan tegen de Amerikaanse regering, gevolgd door een Chinees e-mailadres.De worm, door CERT `sadmind/IIS' gedoopt, maakt gebruik van al lange tijd bekende beveiligingsfouten. Solaris, het besturingssysteem van Sun, wordt binnen getreden door het gebruik van een twee jaar oude `buffer overflow'-fout.Om de Internet Information Server (IIS) van Microsoft binnen te komen wordt een zeven maanden geleden ontdekte beveiligingsfout benut. Bij getroffen systemen verschijnt een directory genaamd `/dev/cuc' waarin de tools zitten waarmee de worm opereert.Indien een server eenmaal geïnfecteerd is, wordt het Solaris-systeem gebruikt om naar andere Solaris- en IIS-systemen te zoeken en deze vervolgens eveneens te infecteren. Voor de beveiligingsfout bij zowel Sun als Microsoft is al enige tijd een patch beschikbaar, maar systeembeheerders laten nog wel eens na deze te installeren."Geen van de antivirusmakers heeft de ontdekking van deze worm, of besmettingen ermee, gemeld", zo zei woordvoerder Denis Zenkin van Kaspersky Lab. Zenkin was nog niet op de hoogte van besmettingen door de worm. Maar hij sloot niet uit dat de worm inderdaad gevaarlijk is en zich snel kan verspreiden.Als dat zo is, heeft CERT volgens Zenkin `onethisch' gehandeld door niet eerst de antivirusmakers, waaronder Kaspersky, in te lichten. CERT-analist Chad Dougherty was het daar niet mee eens. "De traditionele antivirussoftware biedt geen bescherming voor dit soort zaken. We zagen de worm zich snel verspreiden en wilden daarvoor waarschuwen", aldus Dougherty.