Сотни тысяч URL были атакованы (на момент написания данной новости их было уже 694 000) посредством SQL-инъекции. В ходе атаки в базах данных был изменен текст, и в результате на поврежденных страницах хакеры разместили от одной до нескольких ссылок на определенный файл JavaScript.

Похоже, что атака не была нацелена на какие-то конкретные серверы, так как ей подверглись ресурсы, работающие на ASP, ASP.NET, ColdFusion, JSP и PHP, и нет сомнения, что это еще не полный список. Атаки с внедрением SQL-кода использует плохо написанные Web-приложения, которые напрямую пишут данные в базы данных. По сути, SQL-инъекция не зависит от языка написания приложений: ошибки в программировании позволяют SQL-инъекции использовать практически любой язык программирования.

В данном случае SQL-инъекция корректирует текстовые поля внутри базы данных, добавляя к ним фрагмент HTML, который, в свою очередь, загружает JavaScript с удаленного сервера, обычно с http://lizamoon.com/ur.php, а в последнее время и с http://alisa-carter.com/ur.php. Оба домена относятся к одному и тому же IP, и на данное время этот сервер не функционирует, что означает, что при переходе по данным ссылкам браузеры не могут загрузить вредоносные скрипты. Использованный ранее скрипт перенаправлял пользователей на сайт с поддельным анти-вирусом.

Огромный масштаб атаки (и быстрый рост вновь зараженных URL) был впервые замечен Websense Security Labs. Во вторник около 28 000 сайтов подверглись атаке, сейчас их число увеличилось уже в 20 раз, и на данный момент оно продолжает расти.

Внедренный код также был обнаружен на страницах Apple iTunes. Apple собирает RSS ленты от подкастеров, вещающих через iTunes. И во многих случаях атакам подверглись именно эти подкастеры. В результате вредоносный код затронул систему Apple; тем не менее, благодаря тому, как Apple обрабатывает ленты RSS, код не распространяется далее, вставленный фрагмент HTML просто не работает.

Внедрение SQL-кода по данному принципу периодически происходит уже полгода. Название домена, содержащего JavaScript, каждый раз меняется, но название файла с окончанием на - ur.php и сам стиль внедрения остаются неизменными. Действия скриптов также однообразны – всплывающие окна и загрузка вредоносного ПО. Предыдущие атаки, правда, были в разы скромнее – сотни URL вместо нынешних сотен тысяч. Первые атаки происходили с IP, расположенных в Восточной Европе и России.