Najechanie myszką na adres URL mogło powodować przekierowanie na inne strony, generowanie dziwnych komunikatów, wyświetlanie gigantycznych liter lub zasłoniętego tekstu. Co 10 sekund rejestrowano nawet tysiąc infekcji.
Firma Panda Security zaobserwowała pierwszą masową infekcję na Twitterze 21 września. Wielu użytkowników było zdziwionych, widząc dziwny ciąg znaków na swoich profilach. Przyczyną były błędy w kodzie Twittera, które doprowadziły do różnych niespodziewanych zdarzeń.
Kiedy na stronie twitter.com użytkownicy najeżdżali myszką na wiadomości, złośliwy kod mógł być automatycznie rozsyłany do użytkowników obserwujących profil, powodując dalsze rozprzestrzenianie się szkodliwego tweeta. Mogły też pojawiać się dziwne komunikaty, ogromne litery, okna dialogowe z powitaniem, czy zasłonięte tweety, a osoby, które logowały się na swój profil mogły być przekierowywane na inne strony www.
Słaby punkt w kodzie umożliwiał działanie skryptu java, który otwierał szereg możliwości dla cyberprzestępców.
"Największym zagrożeniem była możliwość wykorzystania adresu URL stosowanego podczas ataku do zainfekowania komputera użytkownika. Jeśli poza dalszym rozsyłaniem kodu przestępca zamieściłby w kodzie strony odnośnik za pomocą technik 'driver-by-download', moglibyśmy mówić o milionach potencjalnych ofiar" - powiedział Luis Corrons, dyrektor techniczny Laboratorium PandaLabs.
Według Panda Security, źródłem ataku wydaje się być konto na Twitterze o nazwie Rainbow i tę samą nazwę nadano robakowi. Pierwsze przypadki wstrzykiwania skryptu java do kodu strony były zwykłymi żartami, ale stopniowo ewoluowały do miana ataków. Wygląda na to, że obecnie przestępcy wykorzystują lukę w bezpieczeństwie do poważniejszych celów.
Bezpieczne były natomiast programy typu klient obsługujące Twittera, które nie uruchamiają skryptu java (np. TweetDeck). Pozwalały one użytkownikom korzystać z serwisu bez ryzyka ataku "Rainbow". Obecnie ze strony Twittera można już korzystać bezpośrednio, gdyż luka w bezpieczeństwie została załatana.
