Los ataques se presentan como comentarios de spam en el blog a uno o a varios posts del mismo, que contienen links a páginas Web infectadas por malware. Y, aunque el gusano intenta ocultar sus huellas en un blog infectado, no es capaz de hacerlo completamente. Wordpress ha explicado que, puesto que este gusano funciona a través de los posts de los blogs, dejando comentarios, tiende a dejar tras de sí vínculos rotos de posts infectados, debido a que su código no está muy elaborado, lo que le hace evidente para el administrador del blog. Así las cosas, desde Wordpress han declarado que, este gusano en particular, al igual que otros muchos antes que él, es inteligente, pues registra a un usuario y utiliza un fallo de seguridad resuelto hace unos meses para permitir que código ya probado sea ejecutado a través de la estructura de vínculos. Así, se transforma en administrador y utiliza JavaScript para ocultarse cuando se comprueba la página de usuarios. Después, intenta limpiar su rastro y se oculta, de modo que no se perciba cuándo inserta spam oculto o malware en antiguos posts.

Estas tácticas son nuevas, pero no lo es la estrategia. De hecho, cuando este gusano en particular es verdaderamente efectivo es en la fase de limpieza, de modo que no se oculta bien y el blogger se da cuenta de que todos sus links están rotos, lo que le hace investigar más a fondo y comprobar la extensión del daño.

Wordpress ha pedido a bloggers de todo el mundo que utilizan este software de publicación Web que actualicen sus programas a la última versión del mismo, la 2.8.4. Según la compañía, actualizarse a esta última versión es mucho más simple y seguro que intentar resolver el problema.