Přes SQL injection útočníci do kódu postižených webů vsunuli svůj Javascript. Jejich návštěvníci jsou pak přesměrováni na stránky, které nabízejí stažení falešných antivirů. Zde se již tradičně zobrazí imitace antivirové kontroly a zpráva, že počítač je nakažen, ovšem problém může vyřešit (malware) Windows Stability Center. WebSense nicméně uvádí, že obě adresy, na něž podvodníci z infikovaných webů odkazovali, jsou v tuto chvíli mimo provoz. Mezitím ale nejspíš zprovoznili jiné domény a mění i „odkazovací" skript.
Pokusy o přesměrování se objevily i na iTunes, Apple ale tyto odkazy zřejmě již vymazal – k útoku cross site scripting (XSS) zde měly být hlavně kanály RSS/XML. Samotné přesměrování zde ale moc nefungovalo kvůli způsobu, jak se zde pracuje s vloženými skripty, takže uživatelé iTunes by měli být v bezpečí.
Řada infikovaných webů je relativně málo navštěvovaných a nepravidelně aktualizovaných, takže jejich oprava zřejmě nějakou dobu potrvá.
Symantec ve své zprávě o incidentu útok označuje jako LizaMoon – podle domény lizamoon.com, kterou útočníci používali jako první. „První známky tohoto útoku jsme zaznamenali 25. března a útok zatím stále probíhá," uvedl Jakub Jiříček, bezpečnostní konzultant společnosti Symantec.
Zdroj: HelpNet Security, Symantec