Twórcy złośliwego oprogramowania starają się opracować sposoby dystrybucji wirusów i koni trojańskich w taki sposób, by maksymalnie poszerzyć zasięg jego rozpowszechnienia. Jednym ze sposobów jest infekcja wielu serwerów, przekierowująca ruch do fałszywego oprogramowania antywirusowego. Ponieważ technologia ochrony komputerów znacznie się ulepszyła, przestępcy postanowili wzmocnić siłę ataków, wprowadzając elementy socjotechniki. Próbują oni przekonać użytkowników, że ich komputery są zarażone wirusem i nakłaniają do pobrania fałszywego oprogramowania antywirusowego - atak taki udaje się zastanawiająco często.

Przykładem niedawnego ataku były masowe infekcje za pomocą SQL Injection, przeprowadzone na ponad 380 tys. stron WWW. Wśród zakażonych stron były serwisy związane z URL usługi iTunes. Liczba ta obejmuje unikatowe adresy URL, ale niezainfekowane hosty, niemniej nadal jest największym masowym atakiem w historii. Obecne wyszukiwania za pomocą Google wskazują na ponad 1,5 mln trafień z linkiem o strukturze identycznej do tej, która wystąpiła w początkowym ataku. Wyniki wyszukiwań z Google nie zawsze są dobrym wskaźnikiem rozmiarów ataku, gdyż zliczają one każdy unikatowy adres URL lub stronę, ale nie domenę lub witrynę, niemniej dają dobry pogląd na trend rozwoju ataku w czasie. Początkowo Google wskazywało na 500 tys. stron z podobnym linkiem, zatem atak nadal się rozwija. Gdy narzędzia WebSense wykryły nowy atak (29 marca), przejęto około 28 tys. adresów URL, liczba ta wzrosła do 226 tys. w bardzo krótkim czasie. Obecnie większość ofiar pochodzi z USA (ponad 42%), liczba komputerów z Polski jest niewielka, prawdopodobnie dlatego, że narzędzie nie zostało jeszcze zlokalizowane, wszystkie napisy są po angielsku.

Wielogłowa Hydra

Aby zablokowanie ataku było możliwie trudne, zastosowano więcej niż jeden stopień przekierowania. Po udanym przekierowaniu z pierwszej zarażonej strony przeglądarka ma pobrać zawartość z jednej z wielu domen, rozsiewających złośliwe oprogramowanie. Jedną z takich domen jest na przykład defender-nibea.in, ale podobnych domen zarejestrowano bardzo wiele na fałszywe konta pocztowe. Rozpoznanie tych domen pokazało, że zostały zarejestrowane w celu przekierowania do podsieci IP (m.in. 46.252.130.200) należącej do AS25190; KIS-AS UAB "Kauno Interneto Sistemos". Podobne domeny zarejestrowano w celu przekierowania do adresów IP należących do AS6739; ONO-AS "Cableuropa - ONO" (np. 84.123.115.228).

Skrypt z obcej strony

Mechanizm ataku zakłada hostowanie skryptu JavaScript, który przekieruje przeglądarkę osoby odwiedzającej, by wyświetlić powszechnie znany serwis oferujący fałszywe oprogramowanie antywirusowe. Początkowo do hostowania wykorzystywano domenę lizamoon.com, ale szybko wykorzystano także inne domeny. Atak ten zadziała tylko wtedy, gdy strony przegląda się za pomocą przeglądarki, która akceptuje skrypty JavaScript z każdej domeny (tak robi Internet Explorer oraz Firefox przy domyślnych ustawieniach), zatem pobieranie muzyki za pomocą iTunes albo użycie dodatku NoScript sprawia, że skrypt nie zostanie uruchomiony i atak się nie powiedzie.

Patrick Runald z Websense Security Labs wyjaśnia: "iTunes pobiera feedy RSS/XML ze strony publikującej podcasty, by aktualizować ich listę. Prawdopodobnie feedy te zostały zarażone wstrzykniętym kodem, niemniej zaletą iTunes jest kodowanie tagów, co oznacza, ze skrypt nie zostanie wykonany na komputerze ofiary". Przy tym ataku skrypt pobrany na przykład z domeny LizaMoon.com przekieruje do fałszywej strony, która wyświetli informację o rzekomym zawirusowaniu komputera i zaproponuje instalację fałszywego antywirusa o nazwie Windows Stability Center.