Najčastejšie napadnuté stránky bežia na phpBB forum. Stránky sú kompromitované JavaScriptom. Ide po dlhšom čase o masívnejší útok od roku 2004 kedy bol použitý Perl/Santy.worm
Rôzne exploity použité v ASP attackoch využívajú phpBB ako zdroj informácií (social engineering).
Infikované stránky presmerujú (a lákajú) na porno stránky kde vyžiadajú nasledovnou hláškou "Theuser is told that in order to view the movie on the page, a specialvideo codec must be installed." "špeciálne" kodeky čím si užívateľ nainštaluje trojana. Následne systém užívateľa je infikovaná malware.
Infikované stránky:
ZDNet Asia - 51,900 injektovaných stránok
TV.com - 49,600 lokálne hosťovaných IFRAME injektovaných stránok
News.com - 167 lokálne hosťovaných stránok
MySimon.com - 4 stránky stále útok pokračoval
domény a IPs bežiace na IFRAMEs
do-t-h-e.com (69.50.167.166)
rx-pharmacy.cn (82.103.140.65)
m5b.info (124.217.253.6)
89.149.243.201
89.149.243.202
72.232.39.252
195.225.178.21
Informácie o súčasnom útoku (17-18.3.) priniesol Slashdot, ITNews Austrália a o staršom nájdete 13.3 McAfee