De huidige aanvalsgolf is opgemerkt en geanalyseerd door beveiligingsbedrijf WebRoot. Security-expert Dancho Danchev blogt dat de huidige oorsprong van deze geautomatiseerde infectiecampagne ligt bij vijf domeinen die op één Russisch ip-adres draaien. Een snelle Google-search leert dat de 'kleinste' van de vijf al 74.200 sites heeft besmet, terwijl de anderen ruim 300.000, 1,3 miljoen en zelfs 3 miljoen sites heeft besmet.

Malafide script

Elk van de vijf infectieservers heeft een php-script klaarstaan, dat wordt aangeroepen door geïnfecteerde legitieme websites. De SQL-databases bij die slachtoffers worden gepakt via een validatiefout voor de input, of een door een bekend beveiligingsgat te benutten. De doelsites blijken namelijk ook verouderde, kwetsbare SQL-software te draaien.

Volgens Danchev is de bende achter deze grootschalige infectie dezelfde die vorig jaar furore maakte met een soortgelijke grote aanval. Die zogeheten Lizamoon-aanval, vernoemd naar één van de gebruikte domeinen voor de infectie, heeft bijna 400.000 sites besmet. Bezoekers van die site kregen pop-ups voor nep-antivirus (zogenaamde scareware) voorgeschoteld.