Beveiligingsexperts waren er al bang voor, maar inmiddels is de eerste worm gesignaleerd die zich via het animated cursor lek in Windows verspreidt. Volgens het Chinese Internet Security Response Team zouden er pas zes klanten geinfecteerd zijn, maar dat lijkt een voorzichtige schatting.

De worm verspreidt zich via e-mailberichten en geinfecteerde websites, en probeert HTML bestanden op geinfecteerde systemen te injecteren met een script dat een ANI bestand van macr.microfsot.com en 2007ip.com downloadt. Als de HTML pagina's bekeken of geupload worden naar een webserver, kan de worm zich verder verspreiden.

De worm probeert zich naast de ANI exploit ook via USB-sticks en andere verwijderbare media te verspreiden. De makkelijkste manier om te kijken of men geinfecteerd is, is door te zoeken naar de bestanden tool.exe en autorun.inf in de root directory van elke schrijf, of het bestand sysload3.exe in de SYSTEM32 map. De Finse virusbestrijder F-Secure laat weten dat systeembeheerders geinfecteerde systemen kunnen vinden door te monitoren of er geen e-mails naar e-mailadressen zoals 578392461@qq.com, 47823@qq.com of 3876195@qq.com gestuurd worden, wat aangeeft dat er een geinfecteerd systeem is.

Naast het aanpassen van het HOSTS bestand wordt ook een variant van de Trojan-PSW.Win32.OnLineGames malware gedownload. De virusschrijver heeft ook nog een melding in de broncode geplaatst waarin hij/zij zegt Kaspersky Anti-virus te haten. Zolang er nog geen patch van Microsoft is, is de beste oplossing het gebruik van een alternatieve browser.