Sårbarheten som utnyttjas är en buffertöverskridning i Backup Execs Remote Agent. I den ursprungliga varningen för de sju sårbarheterna beskrevs den som en av de farligare, men inte den farligaste. Enligt Symantec kan en angripare utnyttja den sårbarheten genom att till exempel skriva in ett extra långt lösenord till klientdelen av programmet. Den klientdelen lyssnar på TCP-port 10 000 och vars uppgift det är att ta emot data från backupservern när en backup planeras. Ganska snart efter att Symantec gått ut med varningen ökade portskanningarna mot port 10000. Enligt Symantec antyder nivån på skanningarna att de utförs av ett botnet. En vidare analys pekar på att det är baserat på IRC-boten W32.Toxbot.

Klicka här för att läsa mer på CRN.