Administratoren sind gehalten, den Patch zum oben genannten Security Bulletin zügig zu installieren, nachdem sie ihr System gegebenenfalls zuerst desinfiziert haben. Ein relativ sicheres Zeichen für eine Infektion ist die Häufung blockierter Nutzerkonten. Der Wurm versucht, die Zugangsdaten zu Nutzerkonten mit Hilfe einer Wörterbuchattacke zu ermitteln. Scheitert diese, wird das betreffende Konto blockiert.
In seinem Blog nennt F-Secure eine große, wenngleich wahrscheinlich nicht erschöpfende, Zahl von Domains, von denen aus sich die Malware offenbar verbreitet. Außerdem bietet der Hersteller dort ein Tool, das bei der Desinfektion der Server hilfreich sein kann.