LinksysのルータにワームのTheMoonが広がっているとしてSANS Internet Storm Centerがブログで報告している。SANSはまだ現時点で該当のルータをすべて特定はできていないが、ファームウェアのバージョンによって影響すると思われるルータとしてE4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000,E900を挙げている。
ワームはまず最初にポート8080番に接続し、必要であればSSLを使い、/HNAP1/のURLをリクエストし、ルータ機能とファームウェアバージョンをXMLフォーマットで返すことでハードウェアバージョンとファームウェアバージョンを抽出している。このワームはルータ上で脆弱なCGIスクリプトを悪用し、認証要求がされない。ワームはランダムなadmin情報を送信するが、スクリプトチェックをしない。次に、シンプルなシェルスクリプトを送り出し、実際のワームを要求する。一度コードが実行されると感染したルータは他の犠牲のスキャンする。ワームは670種類の異なるネットワークリストを含み、さまざまな国でケーブルやDSLモデムのISPが狙われている。
