Het DNS lek in Windows 2000 en Windows Server 2003 wordt ook in Nederland misbruikt. Sinds maandagochtend ziet netwerkbeveiliger Quarantainenet de exploit ook hier in "het wild" langskomen. Hoe de exploits zich zullen ontwikkelen is volgens het bedrijf uit Enschede moeilijk te voorspellen. Het volume van de aanvallen valt momenteel nog erg mee, slechts enkele tientallen per uur op dit moment.

"Tot nu toe gaat het minder hard dan de laatste grote uitbraak (Symantec) die we geanalyseerd hebben, maar dat kan per uur natuurlijk veranderen. Wel zal ook deze weer in golven gaan terugkomen, zoals eigenlijk elke andere exploit. (denk aan dcom, lsass, realvnc)" laat Casper Joost Eyckelhof tegenover Security.NL weten.

Op 12 april maakte Microsoft bekend dat er mogelijk een vulnerability in de RPC van de Windows DNS Server bestond. Quarantainenet schakelde extra honeypots in om door heel Nederland de situatie te monitoren. Vrijdag werd meer informatie bekend over de mogelijke exploit, dit leidde echter nog niet tot extra activiteit op de honeypots.

Deze relatieve rust bleef gehandhaafd tot 2:42 in de nacht van zondag op maandag, toen de eerste verdachte activiteit zichtbaar werd vanaf een Amerikaanse universiteit. Om 15:40 maandagmiddag werd de eerste echte "payload" gevangen. Van de wormen die Quarantainenet op het moment ziet langskomen maakt de meest actieve variant verschillend gebruik van de "Symantec Remote Management Stack Buffer Overflow" en deze DNS server kwetsbaarheid.

Op het moment komen de meeste besmettingspogingen uit de VS en China: