De worm duikt op onder de naam 'sadmind/IIS'. "We hebben inmiddels van meer dan 100 beheerders van sites meldingen gekregen over de worm. Dat betekent dat enkele duizenden websites die draaien op Microsoft's Internet Information Server (IIS)-software gedefaced zijn en dat meer dan 200 Solaris machines geïnfecteerd zijn", zegt Chad Dougherty, Internet Security Analist bij CERT (Computer Emergency Response Team Coordination Center). Attrition.org, dat nauwkeurig bijhoudt hoeveel websites gedefaced zijn, zegt in een verklaring dat het een lijst met 8836 IP-adressen heeft van systemen die geïnfecteerd zijn door de worm. Hoewel Attrition.org slechts 405 defacements kon bevestigen, denken specialisten van Attrition.org dat op de een of andere manier alle systemen achter de IP-adressen het slachtoffer geworden zijn.CERT vaardigde afgelopen week al een officiële waarschuwing uit over de worm, waarin het ondermeer stelt dat het voortdurend meldingen krijgt van beheerders van zowel Solaris- als ISS-servers dat hun systemen geïnfecteerd zijn.De worm maakt op Solaris-servers gebruik van een twee jaar oude veiligheidslek. Op Solaris-servers maakt de worm reclame voor zichzelf. Op ISS-servers van Microsoft gaat de worm iets anders te werk. Op deze servers worden anti-Amerikaanse webpagina's geplaatst. De worm gebruikt daarvoor een veiligheidslek dat zeven maanden geleden ontdekt was.Patches om de problemen op te lossen zijn al geruime tijd beschikbaar. Maar het aantal recente defacements benadrukt dat systeembeheerders het regelmatig nalaten de laatste updates te installeren.