De malware die het "worm-lek" in Windows misbruikt was nog niet klaar voor productie, zo denken beveiligers die de code analyseerden. Nog geen dag na het verschijnen van Microsoft's patch voor het beveiligingslek in de Windows Server service, werd een Trojaans paard ontdekt dat al duizenden systemen had geïnfecteerd. Naast het stelen van vertrouwelijke informatie, met name inloggegevens, zocht de malware ook naar andere kwetsbare systemen op het netwerk.

Volgens beveiliger PrevX gaat het hier, ondanks dat Gimmiv.A zichzelf kan verspreiden, om een Trojaans paard. Analyse van de code laat verder zien dat die nog niet optimaal is. "Gimmiv.A lijkt op een testversie. De code is niet geoptimaliseerd, redundant en er zijn veel debug output strings. Dit zijn details die kunnen betekenen dat de malware als beta of debug release bedoeld was," zegt Marco Giuliani. Hij denkt dat de malware zeker bedoeld voor gerichte aanvallen is, maar dat de makers hun creatie nog niet volledig getest hadden.

Microsoft blij
Bij Microsoft is men positief gestemd. Beveiligingsupdate MS08-067 wordt wereldwijd uitgerold en men is nog niet tegen problemen aangelopen, hoewel niet iedereen het daar mee eens is. Deze gebruiker klaagt over problemen met zijn netwerk-shares.

Wat betreft misbruik van het lek ziet Microsoft geen nieuwe ontwikkelingen. "We weten dat mensen aan betrouwbare exploitcode werken. We zijn ook op de hoogte van code die op een publieke site is geplaatst, maar die zorgt alleen voor een denial of service," zegt Christopher Budd, die opmerkt dat er nog geen betrouwbare exploitcode publiek bekend is. De security program manager van het Microsoft Security Response Center adviseert gebruikers die de update nog niet geïnstalleerd hebben, dit zo spoedig mogelijk te doen.