O chefe de pesquisa da Grisoft SRO, Roger Thompson, apontou que os sites infectados são encontrados por uma pesquisa no Google pelo domínio que hospeda o código JavaScript malicioso.

Os sites atacados somaram mais de 70 mil no sábado (05/01), afirma Thompson. “O ataque vitimou diferentes usuários, sendo a existência de vulnerabilidades no PC a única característica comum entre eles”, diz o executivo.

A Symantec, por sua vez, citou outros pesquisadores, que apontaram em comum uma vulnerabilidade na SQL. “Os sites foram hackeados por um robô, que criou um ataque que executa um loop repetitivo, que encontra cada tabela na base de dados e então anexa as colunas de texto ao script malicioso”, afirmou um pesquisador identificado como "websmithrob".

“É possível que apenas bases de dados do Servidor SQL da Microsoft tenham sido infectadas com esta versão do robô, já que o script confia na tabela de objetos desta base de dados”, completa.

Segundo websmithrob, o ataque anexa uma tag JavaScript a todos os textos da base SQL, instruindo os navegadores a executar um script hospedado em um servidor malicioso.

Entre os domínios contaminados, estão .edu e .gov, notificou o SANS Institute's Internet Storm Center (ISC) na sexta-feira (04/01). O instituto diz ainda que algumas páginas do site da empresa de segurança CA foram infectadas.

Thompson identificou o bug MDAC (Microsoft Data Access Components), ajustado em abril de 2006, como uma das exploradas pelo código de ataque.

Já websmithrob e a Symantec afirmam que um bug do RealPlayer, que surgiu em outubro e foi ajustado pela RealNetworks alguns dias depois, também é explorado.

A velocidade da limpeza do ataque foi surpreendente para Thompson. Apesar de uma busca mostrar milhares de sites infectados no sábado, o pesquisador afirma que a ferramenta LinkScanner, da Grisoft, indicou que quase todos foram limpos.

No domingo (06/01), o ISC afirmou que os ataques de injeção SQL infectaram sites com um script referente a diferentes servidores maliciosos. Muitos destes sites, contudo - um total de 93 mil até a manhã desta segunda-feira (07/01) -, não foram limpos.