Po tom, ako sa v nedeľu začal šíriť prvý worm zneužívajúci chybu v Plug And Play (PnP) subsystému Windows, ktorá umožňuje vzdialený výkon kódu je v súčasnosti identifikovaných minimálne 11 rozličných verzií malwaru, ktoré zneužívajú túto chybu.
Krátko po tom, ako Microsoft v minulý utorok vydal záplatu opravujúcu chybu v PnP sa na Internete objavil exploit kód, ktorý umožnil chybu využiť k napísaniu samo sa šíriaceho worma.
Chyba je kritická iba vo Windows 2000, nachádza sa tiež vo Windows XP a Windows Server 2003, v týchto verziách ju ale nie je možné využiť vzdialene a tak wormy sa na tieto verzie Windows nešíria.
Celkovo je tak miera šírenia na Internete nízka a podľa posledných správ wormy útočia najmä cielene na vybrané firemné siete, kde sú Windows 2000 rozšírenejšie ako napríklad v domácnostiach.
Antivírusová firma F-Secure informovala, že u rozličných wormov a ich verzií identifikovala snahu niektorých z nich odstraňovať konkurenčné wormy. Agresívnymi sú wormi IRCbot.ES, IRCbot.ET a IRCbot.EX, ktoré po nainštalovaní odstránia Zotob.A a Zotob.B a wormy Bozori.A a Bozori.B, ktoré odstraňujú Zotob.A, Zotob.B, Rbot.YN a Sdbot.ADB.
F-Secure dokumentuje situáciu u známych wormov týmto nákresom:
Graf konkurenčného boja jednotlivých wormov.
Zdroj: F-Secure
Je známe, že siete infikovaných počítačov, ktoré je možné vzdialene ovládať napríklad na rozosielanie spamu, autori wormov za finančnú kompenzáciu prenajímajú respektíve predávajú na ďaľšie využitie.
Pre zabránenie napadnutia niektorým z uvedených wormov je potrebné nainštalovať záplatu MS05-039. Pre overenie, či počítač nie je zavírený Microsoft vydal aktualizovanú verziu svojho Malicious Software Removal Tool, ktorá odstraňuje wormy Zotob.A až Zotob.E, Bobax.O, Esbot.A, Rbot.MA, Rbot.MB a Rbot.MC.