Symantec mag dan vorig jaar al een patch uitgebracht hebben, een lek in de zakelijke virusscanner van de beveiliger blijft een geliefd doelwit van computerwormen. Door het lek in Symantec AntiVirus en Symantec Client Security kan de malware een kwetsbaar systeem volledig overnemen. De eerste worm die hier misbruik van maakte, Big Yellow, werd halverwege december vorig jaar ontdekt.

Symantec zag deze worm destijds niet als een grote dreiging en bestempelde het als "achtergrond ruis". Inmiddels zijn er nieuwe Spybot varianten verschenen die hardnekkig het web afgaan op zoek naar lekke Symantec installaties. De nieuwe wormen zouden zich beter weten te verspreiden.

Spybot opent een backdoor en maakt verbinding met een IRC-server, waarna de machine in handen van de aanvaller is. De eerste versie van Spybot verscheen in 2003, en sindsdien zijn er talloze varianten verschenen. Sinds 20 december zou er op TCP poort 2967, die de beveiligingssoftware gebruikt, een toename van het aantal aanvallen te zien zijn.

Veel klanten blijken hun scanner niet te hebben geupdate omdat dit niet automatisch gebeurt. "Klanten moeten naar de support pagina gaan en de update downloaden. De security fix verschilt van normale definitie updates, die automatisch gedownload worden" aldus Vincent Weafer van Symantec. Vanwege het probleem overweegt Symantec de update procedure voor haar zakelijke software aan te passen.