De aanval kwam dinsdag voor het eerst aan het licht en inmiddels is de javascript-code op een groot aantal websites geplaatst. Uit een Google-zoekopdracht valt af te leiden dat 3,8 miljoen url's zijn besmet met malafide javascript-code. Waarschijnlijk wordt de code met sql-injectie aan pagina's toegevoegd, meldt Websense. De blog heeft tot nu toe enkel meldingen gehad van infecties op sites die Microsoft SQL Server 2000 of 2005 gebruiken.

De geïnjecteerde javascript-code stuurt gebruikers door naar een advertentiepagina voor scareware: malware die zichzelf voordoet als legitieme beveiligingssoftware. Vaak wordt de software aangeboden met advertenties die gebruikers bijvoorbeeld een gratis virusscan aanbieden, omdat hun computer zogenaamd gevaar loopt. Het gaat in dit geval om Windows Stability Center, dat na installatie gebruikers wil doen geloven dat hun computer is geïnfecteerd met allerlei virussen. Vervolgens wil de software gebruikers ertoe verleiden om namaaksoftware aan te schaffen.

Windows Stability Center lijkt redelijk nieuw te zijn en komt nog niet voor in de databases van antivirusbedrijven. Het is niet bekend of de software ook gegevens buit maakt en of geïnfecteerde pc's worden gebruikt om in een botnet websites aan te vallen. Het is eveneens onduidelijk hoeveel websites zijn besmet; enkel het aantal verschillende url's waarop het script voorkomt, kan worden geschat.

Onder de besmette url's zijn naar schatting 8000 Nederlandse sites. Daaronder valt ook een faq-pagina van de virtuele provider Simyo, waar de code is geïnjecteerd in de keuzeopties van een selectieveld. Hierbij zijn de '<'- en '>'-karakters echter omgezet naar html-entiteiten, waardoor de geïnjecteerde tekst niet als code wordt herkend en dus niet wordt gerenderd. Iets vergelijkbaars gebeurde volgens Websense op pagina's op itunes.apple.com, waar eveneens code werd geïnjecteerd, maar niet door browsers werd uitgevoerd.

Bron:   tweakers.net