Z pierwszy analiz wynika, że atak przeprowadzany jest z terenu Chin - prawie na pewno kolejne strony infekowane są automatycznie (świadczy o tym m.in. szybkość, z jaką zwiększa się liczba zarażonych witryn). Przestępcy forsują zabezpieczenia stron WWW, po czym osadzają na niej złośliwy kod automatycznie infekujący komputery odwiedzających ową witrynę internautów. Zadaniem owego oprogramowania jest przejęcie hasła i loginu do jednej z kilku gier online.

Craig Schmugar, analityk z McAfee Avert Labs, przypuszcza, że do namierzania kolejnych podatnych na atak witryn przestępcy wykorzystują mechanizm wykorzystujących wyszukiwarkę Google. Zlokalizowaną tą metodą stronę atakują za pomocą odpowiedniego exploita.

Przejęte w ten sposób strony cały czas działają i wyglądają identycznie jak przed atakiem. Cyberprzestęcy umieszczają na nich jednak niewielki skrypt JavaScript, który podczas wyświetlania strony przekierowuje przeglądarkę na pewną chińską stronę z osadzonym kolejnym exploitem (jego zadaniem jest zainfekowanie komputera). Z ustaleń McAfee dowiadujemy się, że exploit ten wykorzystuje załatane już jakiś czas temu błędy w popularnych przeglądarkach - użytkownicy, który regularnie uaktualniają oprogramowanie są więc bezpieczni. Warto jednak zaznaczyć, że w kilku przypadkach do atakowania komputera wykorzystywane były luki w kontrolach ActiveX dostarczonych przez producentów gier online - dlatego użytkownicy powinni pamiętać o ich uaktualnianiu.

Jeśli taki atak okaże się skuteczny, w komputerze internauty instalowany jest koń trojański wyspecjalizowany w wykradaniu haseł dostępu do gier typu MMORPG (Massively-Multiplayer Online Role Playing Game) - np. "Lord of the Rings Online". Przejęte w ten sposób konta oraz wirtualne przedmioty należące do graczy przestępcy mogą później odsprzedawać za znaczne kwoty.

Warto wspomnieć, że nie jest to pierwszy tak masowy atak na witryny WWW - do takich incydentów dochodziło już kilkakrotnie w ciągu ostatniego roku. Z najgłośniejszym z nich - atakiem nazwanym Italian Job - mieliśmy do czynienia w czerwcu 2007r. Internetowi przestępcy przypuścili wtedy zmasowany atak na serwisy internetowe - w jego wyniku na ok. 10 tys. witryn osadzono oprogramowanie, infekujące komputery internautów keyloggerami i końmi trojańskimi. Zdecydowana większość zaatakowanych stron - ok. 80% - stanowiły serwisy włoskie. Pisaliśmy o tym w tekście "Zmasowany atak na włoskie strony WWW".