Roger Thompson z Exploit Prevention Labs twierdzi, że zainfekowane strony mogą być wykryte za pomocą prostej metody. Wystarczy w Google wpisać nazwę domeny - uc8010.com, z której rozprzestrzenił się szkodliwy kod. W sobotę (5 stycznia) zwróciła ona ponad 70 tys. wyników. Aktualnie - zaledwie dwa dni później, takich domen jest już 88 tys.

Na swoim blogu Roger Thompson pisze, że domena uc8010.com została zarejestrowana 28 grudnia 2007. Sam serwer znajduje się w Chinach. "Jedyną rzeczą, która jednoznacznie łączy zainfekowane witryny jest ich podatność na tego rodzaju ataki" - zauważa specjalista. Jednocześnie twierdzi on, że większość z zainfekowanych witryn została błyskawicznie oczyszczona ze szkodliwego kodu, a wyniki zwracane przez wyszukiwarkę to głównie odnośniki zapisane w pamięci podręcznej systemu wyszukiwania. "Gdyby chodziło o farmę serwerów, tak szybkie usunięcie złośliwego kodu byłoby możliwe. Jednak tysiące zarażonych serwisów nie wydają się mieć ze sobą wiele wspólnego. To bardzo dziwne" - ocenia. Istnieje możliwość, że szkodliwy kod nie zadziałał w zamierzony przez hakerów sposób.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Nie żyje jeden z najsłynniejszych hakerów na świecie

Ataki typu SQL Injection wykorzystują luki w zabezpieczeniach systemu bazodanowego. Zwykle specjalnie przygotowany aplet JavaScript w powtarzalny sposób stara się wyszukać wszystkie tabele bazy danych i do każdej kolumny dopisać szkodliwy kod, umożliwiający np. zarażanie kolejnych witryn. Na tego rodzaju ataki narażone są przede wszystkim witryny generowane dynamicznie.

W ocenie analityków istnieje pewne prawdopodobieństwo, że atak określany obecnie jako uc8010.com dotyczy wyłącznie baz danych wykorzystujących Microsoft SQL Server. Jak na razie jego jedynym celem jest dopisywanie kodu pozwalającego na dalsze rozprzestrzenianie się skryptu, zazwyczaj w nagłówku zainfekowanej strony. Atak został przeprowadzony głównie w oparciu o - załataną ponad półtora roku temu (biuletyn zabezpieczeń MS06-014) - lukę w funkcji Microsoft Data Access Components (MDAC). Najprawdopodobniej skrypt wykorzystuje również odkrytą w październiku 2007 r. lukę dotyczącą odtwarzacza RealPlayer. Ona także została już załatana. Ponieważ jednak szkodliwy skrypt znalazł się również na witrynach znanych firm z branży IT - m.in. firm analitycznych i specjalistów ds. bezpieczeństwa - istnieje pewne prawdopodobieństwo, że atak wykorzystuje nowsze luki.

Eksperci jednoznacznie oceniają, że przeprowadzony atak najpewniej miał na celu zbadanie skuteczności opracowanego przez hakerów skryptu i zapewne przerósł ich oczekiwania. Jest również doskonałym przykładem dlaczego warto aktualizować posiadane systemy bazodanowe i pokazuje jak wielu administratorów wciąż tego nie robi. Aby skutecznie ochronić się przed obecną formą ataku wystarczy zablokować dostęp do domeny uc8010.com.