W trzech dzielnych atakach SQL injection ucierpiało prawie 80 tys. witryn w Chinach, 67 tys. w Stanach Zjednoczonych i 40 tys. w Indiach. W szczytowym okresie infekcja osiągnęła milion prób w jednym punkcie w Chinach.

Ataki te polegały na zamieszczaniu złośliwych iFrame na legalnych witrynach, w celu przekierowania odwiedzających te strony do ośrodka generującego kody złośliwe. Według specjalistów ScanSafe, te trzy fale ataków SQL injection wyszły prawdopodobnie spod ręki tego samego napastnika - tak można wnioskować na podstawie informacji o rejestracji domen i stylu ataku.

Siedem nazw domen użytych w atakach zostało zarejestrowanych pod tym samym nazwiskiem i adresem, które są prawdopodobnie fałszywe. Nazwy tych domen zostały użyte do zbudowania globalnej infrastruktury internetowej służącej do rozprzestrzeniania kodów złośliwych.

Według specjalistów ScanSafe, zidentyfikowane nazwy domen zostały zarejestrowane w Go Daddy pod fałszywymi danymi, wymaganymi przy rejestracji, co wydaje się o tyle niezwykłe, że Go Daddy cieszy się dobrą reputacją, a cyberprzestępcy preferują raczej rejestratorów przymykających oczy na pewne wymogi formalne.

Jednak w opinii specjalistów ScanSafe, największy problem nie jest związany z żadnym konkretnym rejestratorem domen, ale z kierunkiem, w jakim rozwija się system rejestracji domem. System ten umożliwia, po prostu, dostarczanie fałszywych informacji przez rejestrujących domeny. Otwartość system rejestracji domen i brak efektywnego nadzoru ułatwia cyberprzestępcom wykorzystywanie internetu do działalności przestępczej.