De nieuwe worm is een variant van de standaard netwerkworm Forbot. Deze infecteert machines door slecht beveiligde Mysql-installaties op Windows-machines binnen te dringen. De eerste variant van Forbot werd in juli vorig jaar ontdekt en installeert na infectie een achterdeur op het besmette systeem. Nadien zijn er tientallen varianten van Forbot opgedoken. De nieuwe variant van Forbot is volgens beveiligingsexperts een van de eerste voorbeelden van een geautomatiseerde bedreiging die het voorzien heeft op Mysql. Om systemen binnen te dringen maakt de nieuwe variant handig gebruik van de laksheid van beheerders. Hierbij probeert de worm aan de hand van een lijst van duizend mogelijk veel voorkomende wachtwoorden toegang tot het systeem te krijgen. De nieuwe variant werd eerder deze week voor het eerst ontdekt door Australische ontwikkelaars die een bestand met de naam `spoolcll.exe' ontdekten dat verbinding probeerde te maken met een irc-kanaal in Zweden. Uit een controle van het Internet Storm Center (ISC) van het SANS Institute blijkt dat er inmiddels meer dan 8000 systemen verbonden zijn met het bewuste irc-kanaal. Ook heeft ISC een stijging van het aantal scans op poort 3306 waargenomen, dat wordt geassocieerd met besmetting door de nieuwe Forbot-variant. Volgens Johannes Ullrich van het ISC zullen naar alle waarschijnlijkheid veel meer dan 8000 Mysql-systemen zijn besmet. Deze systemen kunnen waarschijnlijk geen irc-verbinding tot stand brengen omdat de irc-server overbelast is, denkt Ullrich.