Google-zoekresultaten op verwijzingen naar de kwaadaardigeJavascript-code leverden afgelopen weekend wisselende aantallen resultaten op. Volgens de Amerikaanse ict-vaksite eWeek stond de teller op een gegeven moment op 2,9 miljoen pagina's. Zondagmiddag was dat 1,7 miljoen. Net voor het weekend waren er nog 'maar' 400.000 pagina's besmet.

Nep-antivirus

De malware wordt met behulp van SQL-injectie geplaatst op normale websites. Bezoekers daarvan worden dan omgeleid naar besmette sites die zich voordoen als antivirussoftware; Windows Stability Center. Bezoekers krijgen alarmerende berichten over besmettingen op hun computers te zien.

Vervolgens krijgen websurfers een aanbod om het securityprogramma te kopen dat de geclaimde problemen op te lossen. Dit soort aanvallen met namaak-software zijn niet nieuw, maar de schaal waarop de aanvallers dit keer opereren is groter dan gewoonlijk.

Veel Amerikaanse sites

Het domein Lizamoon.com is één van de sites die gebruikt worden bij de aanval. Onder meer de site van het Nederlandse Simyo was geïnfecteerd. Ook zijn verschillende url’s van Apple's iTunes geïnfecteerd met het kwaadaardige stuk JavaScript. Omdat het systeem van Apple deze code niet uitvoert, lopen iTunes-gebruikers geen gevaar.

Volgens cijfers van securitybedrijf Websense was maar 0,9 procent van de besmette sites afkomstig uit Nederland. De aanval richt zich vooral op Amerikaanse sites.

Lek in cms?

Welke webscripts precies gebruikt worden voor de SQL-injectie is niet duidelijk. Systeembeheerders hebben aan Websense gemeld dat ze de gebruikte code zijn tegengekomen in SQL-databases, maar daar zit het lek zelf niet. De aanvallers misbruiken waarschijnlijk een exploit in een cms of blogsysteem, aldus Websense.

Dat bedrijf telt zeker 30 sites waar de links naar de malware heen leiden. Opvallend veel van die sites hebben de domeinextensie .info. De aanvallers probeerden de Javascript-code ook los te laten op Twitter. Dat gebeurde via tweets over te koop staande huizen die verstuurd zijn via de site Tweetlister.com, die ook enige tijd besmet is geweest.

SQL-injectie

Een sql-lek kan ontstaan als de gebruikersinvoer niet wordt gecontroleerd op ongewenste code. Door een extra sql-commando in te voeren in een invulveld zoals voor de gebruikersnaam, kunnen alle sql-commando’s worden uitgevoerd. In dit geval wordt er zo code aan het cms van de website toegevoegd. Die code kan dan malware zijn die bezoekers van pagina's op zo'n besmette site weer besmet, of omleid naar andere sites.