Een widget van Network Solutions (NSI) blijkt een gat te bevatten dat is benut door malwaremakers. De widget heet Small Business Success Index en is een enquete-tool die beheerders kunnen toevoegen aan hun websites en blogs. NSI biedt daarvoor een eenvoudig installatiescript op zijn site GrowSmartBusiness.com. Daarnaast is de besmette tool sinds eind april aanwezig in de widgetgallery-site WidgetBox.

Geronseld

Legitieme websites die deze NSI-widget draaien, zijn daarmee geronseld voor de hosting en verdere verspreiding van kwaadaardige code. Het gaat hier om zogeheten drive-by malware; die probeert binnen te dringen op pc's van bezoekende websurfers zodra die de besmette site bezoeken.

De widget zelf is inmiddels niet meer beschikbaar, zowel bij NSI zelf als bij WidgetBox. Verder is de SmartBusiness-site geheel offline, maar nog wel te bezien in de Google-cache. Die site van de registrar bleek namelijk zelf volledig gekaapt. De malwaremakers hadden volledig beheer over die widgetsite. De aanval is ontdekt en ontleed door securitybedrijf Armorize.

Geparkeerde domeinen

Het aantal besmette sites is nog enorm verhoogd doordat bleek dat de widget ook automatisch draait op zogenaamde geparkeerde domeinen van NSI. Dat zijn domeinnamen die wel zijn geclaimd, maar die (nog) niet actief worden gebruikt voor het draaien van diensten zoals een website of mailserver. Vaak worden die namen 'geparkeerd' om domeinkapers de pas af te snijden. Veel domeinregistrars voorzien dergelijke domeinen al wel van eigen reclamebanners.