A US-CERT és az Internet Storm Center (ISC) a Microsoft Internet Information Server (IIS) típusú webszerverekre való betörések számának emelkedéséről adott hírt. A betörők olyan módon manipulálják a szervereket, hogy azok a letöltött oldalakhoz speciális JavaScripteket csatoljanak. Maguk a html-oldalak nem változnak, ám a szkriptek az Internet Explorer két ismert, ám nem javított biztonsági rését kihasználva a kliensgépet már az oldal megtekintésekor megfertőzik a RAT trójai falóval. A RAT rögzíti a billentyűzeten bevitt adatokat, és továbbítja azokat bizonyos szervereknek az Interneten, valamint megnyit egy hátsó kaput.

A jelek szerint a RAT minden funkcióval rendelkezik ahhoz, hogy spam-szerverként működjön. Egyelőre nem ismert, ki(k) követi(k) el a betöréseket, sem az, hogy az IIS-nek pontosan melyik biztonsági fogyatékossága teszi ezeket lehetővé. Néhány nyom arra utal, hogy orosz elkövetők állnak a háttérben. Elképzelhető, hogy az IIS egy olyan gyenge pontját használják ki, amelyhez nem is létezik patch.

Jelenleg nem ismert, mennyi szervert érint eddig a dolog, számuk azonban növekszik, így az adminisztrátoroknak ajánlott megvizsgálniuk a weboldalaikat, nem tartalmaznak-e gyanús szkripteket. A US-CERT szerint a kódot az "enable document footer" funkcióval illesztik a html-oldal végéhez. Kliensoldalon az ActiveScripting letiltásával védekezhetünk a fertőzés ellen.