Al duizenden Windows-gebruikers zijn zonder dat ze het weten besmet geraakt met een worm die zich via het nieuwe Windows worm-lek verspreidt. Eenmaal actief op het systeem steelt Gimmiv.A wachtwoorden van onder andere Windows protected storage en Outlook Express, en stuurt die informatie in versleutelde vorm (AES) naar verschillende hosts. Op het moment van schrijven bevatte dit bestand al meer dan 3800 records, hoewel er ook dubbele IP-adressen bij zitten. Dat neemt niet weg dat het zeker om drieduizend besmette computers gaat. Ook maakt de worm melding als de volgende virusscanners zijn geïnstalleerd:

• BitDefender Antivirus
  
• Jiangmin Antivirus
  
• Kingsoft Internet Security
  
• Kaspersky Antivirus
  
• Microsoft's OneCare Protection
  
• Rising Antivirus
  
• Trend Micro

Jiangmin, Kingsoft en Rising zijn alle drie Chinese anti-virusbedrijven die in de rest van de wereld een zeer klein marktaandeel hebben. Dit zou erop kunnen duiden dat de auteurs in de Chinese hoek te vinden zijn. Verder bevat de dumpsite een afbeelding van Homer Simpson.

Verspreiding
Naast het stelen van informatie zoekt de worm ook naar nieuwe hosts om te infecteren. Het begint met het zoeken van IP-adressen binnen hetzelfde netwerk. Vindt Gimmiv een machine, dan stuurt de worm het kwaadaardige RPC-request naar de Service service. Eenmaal actief op het systeem installeert de worm drie bestanden, winbase.dll, basesvc.dll en syicon.dll, in de %System%\Wbem\basesvc.dll map. Deze DLL bestanden zijn verantwoordelijk voor het stelen en versturen van de gevonden informatie, zo blijkt uit deze analyse.

Nieuwe kansen voor oude worm
Naast de bestaande worm is het ook goed mogelijk dat de kwetsbaarheid een comeback van een twee jaar oude worm mogelijk maakt. Het lek heeft veel gemeen met een andere kwetsbaarheid in de Server service, die Microsoft in 2006 dichtte. Dat lek werd uiteindelijk misbruikt door de Mocbot. "Toonaangevende beveiligingsonderzoekers denken dat het lek gebruikt zal worden om een oude worm op te knappen. Beide lekken bevinden zich in dezelfde code omgeving, die RPC berichten verwerkt en routeert," zegt Adam O'Donnell. De Nederlandse beveiligingsonderzoeker Ronald van den Heetkamp heeft een script gemaakt dat, op eigen risico, RPC uitschakelt. Symantec meldt verder dat het bestand "n2.exe" op geïnfecteerde machines is aangetroffen.