MySQL-orm på avveie
Ormen, kjent som SpoolCLL, infiserer kun Windows-maskiner som kjører MySQL, og bruker en liste over vanlige administrator-passord for å få tilgang. Når den er inne, oppretter den en ny tabell med navnet "bla", der den lagrer innholdet i en DLL-fil. Deretter lagrer den DLL-filen på disk, via en SELECT-spørring, og den laster deretter DLL-filen gjennom en MySQL-funksjon, og prosessen forsøker å finne en ny maskin å infisere.
Ormen blir styrt gjennom ulike IRC-servere, og inneholder blant annet en DDoS-motor, ulike nettverksskannere, en FTP-server, og muligheten til å sende informasjon fra det infiserte systemet. Ingen sårbarheter i MySQL blir brukt av ormen.
De fleste store anti-virusprogrammer finner nå ormen. For å unngå å bli infisert bør du gi administratorkontoen i MySQL et langt passord, og eventuelt begrense pålogging til root-kontoen til spesifikke IP-adresser.