Internetters die deze sites bezoeken downloaden zonder het te weten de kwaadaardige Javascript-code. De code wordt meegestuurd met een plaatje en zoekt vervolgens verbinding met één of twee ip-adressen in Noord-Amerika of Rusland. Van hieruit wordt vervolgens een keylogger geïnstalleerd. De praktijken zijn ontdekt door NetSec, een bedrijf dat beveiligingsdiensten levert aan grote bedrijven en overheden. Het bedrijf ontdekte donderdag plotseling verdacht dataverkeer op diverse door hen beheerde netwerken, zegt Brent Houlahan, chief technology officer van NetSec. Het bedrijf heeft hierop de logbestanden gecontroleerd en ontdekte dat wanneer internetters de besmette sites bezoeken – waaronder een grote veilingwebsite, zoekmachine en vergelijkingssite – zij ongemerkt worden geïnfecteerd met de kwaadaardige code.

Trojaans Paard

Vanaf het ip-adres in Rusland is al vaker spam verstuurd. Houlahan vreest dan ook dat de code een soort virtueel netwerk aan het opbouwen is om in een later stadium via de besmette pc's op grote schaal spam te versturen. Hij benadrukt wel dat NetSec de code nog aan het onderzoeken is om de exacte werking te ontcijferen. Ook het SANS Internet Storm Center, dat alle mogelijke gevaren voor de internetinfrastructuur in de gaten houdt, onderzoekt de uitbraak. Het onderzoekscentrum heeft inmiddels ontdekt dat de code ook een Trojaans paard installeert genaamd msits.exe. Wat het Trojaans paard exact doet, is nog niet bekend.

Grootschalige uitbraak

Het is nog onduidelijk op hoeveel systemen de bewuste code zich inmiddels ongemerkt heeft weten te nestelen. NetSec weigert de namen van de besmette sites te noemen, maar stelt dat het `grote, erg grote sites' zijn. Overigens denkt Houlahan dat niet de originele servers van de sites besmet zijn, maar waarschijnlijk de cacheservers van die bewuste sites. Of er een connectie is met de aanval op de cacheservers van Akamai eerder deze maand, is niet bekend. Alleen servers met Microsofts IIS lijken overigens geïnfecteerd te kunnen worden met de kwaadaardige code. De code zelf heeft het vervolgens alleen voorzien op internetters met een Windows-pc in combinatie met Internet Explorer. Hoe de IIS-servers zelf besmet raken, is nog niet bekend. Onderzoekers van het SANS Internet Storm Center vrezen dat er mogelijk sprake is van een zogenoemde zero-day exploit, waarbij er al een exploit rondwaart voor de leverancier van de gecompromitteerde software een oplossing heeft gevonden. Om de schade enigszins te kunnen beperken, publiceert SANS geen lijst van besmette sites om verder misbruik te voorkomen. Wel constateren de onderzoekers dat de lijst lang is en namen bevat van bedrijven die geacht worden volledig gepatchte systemen te hebben.