Infekce orientovaná na PC zasáhla již přes 30 tisíc webových stránek

Infekce, ohrožující koncové uživatele webových stránek instalací účinného mixu malwaru, se rozšířila již na více než 30 tisíc webových stránek patřících vládním organizacím i soukromým firmám.
Do kódu úvodní stránky webu je zaveden zákeřný kód v JavaScriptu, většinou pomocí běžných zranitelností vedoucích k SQL Injection. Nastrčený kód je navrhnut tak, aby vypadal jako kód služby Google Analytics (služba zajišťující komplexní statistiky přístupů na web) a je nejasný, případně šifrovaný, tudíž je pro majitele stránek obtížné infekci odhalit.
Kód se pak snaží přesměrovat návštěvníky na servery, které analyzují výskyt nejběžnějších zranitelnosti na PC a na základě výsledků se pokouší těchto zranitelností zneužít. Pokud žádnou nenajde, nabídne uživateli instalaci podvodného antivirového softwaru. Bylo zjištěno, že adresy těchto serverů jsou často velmi podobné adresám reálných služeb, což dále znesnadňuje odhalení kódu.
Spekuluje se o spojitosti s infekcí nazvanou Gumblar, která přesměrovává hledané výrazy směřované Googlu a navrací pozměněné výsledky, což poškozuje jak Google, tak i jeho uživatele a snaží se zcizit citlivé informace, například o FTP účtech daného uživatele, které by mohly být zneužity k dalšímu šíření infekce. Tato možnost se však vzhledem k rozdílům v chování kódů zdá odborníkům nepravděpodobná. Více informací naleznete na serverech The Register a Websense.