Carl Leonard ze společnosti WebSense uvedl pro americký Computerworld, že kromě útoku SQL injection došlo u některých serverů zřejmě také k nahrání škodlivých kódů přes ukradené přihlašovací údaje k FTP.
Podvodníci přesměrovávají uživatele například na stránky napodobující službu Google Analytics. Kdo sem zadá přihlašovací údaje, způsobí si kompromitování svého účtu na Googlu včetně přístupu do GMailu. Útočníci přesměrovávají návštěvníky i na další weby, které jsou navrženy tak, aby přímo zkoumaly, zda uživatelé nemají neaktualizované prohlížeče. Eventuální zranitelnosti pak použijí přímo k instalaci malwaru bez nutnosti další uživatelovy aktivity. Pokud tímto způsobem počítač kompromitovat nelze, server zobrazí falešné upozornění na infekci a uživatel je vyzván, aby si stáhl trojského koně vydávaného za bezpečnostní program.
Co konkrétně útočníci provádějí s nově ovládnutými počítači není zatím jasné, předpokládá se, že se stávají součástí spamovacího botnetu a samozřejmě dochází také k pokusům o krádež citlivých údajů.
Domény, které útočníci v tomto případě používají, byly zaregistrovány na Ukrajině. Spekuluje se o tom, že podvodníci mohou patřit k nechvalně známé skupině Russian Business Network. Možná je také vazba na autory červa Gumblar, který právě kradl přístupové údaje k FTP serverům. Gumblar se ovšem šířil nikoliv přes zranitelnosti webového prohlížeče, ale zneužíval chyb v softwaru od Adobe. Podrobnosti o červu Gumblar viz článek Gumblar: sofistikovaný červ z legitimních webů.