Un attacco Web ha compromesso oltre mezzo milione di pagine online. Sui siti colpiti è stato inserito uno script maligno (JS_SMALL.QT) derivante da una implementazione inadeguata del pacchetto phpBB, un noto software per la gestione di forum.

Collegandosi a un sito infetto, gli utenti vengono a loro volta contagiati con una variante della famiglia ZLOB (TROJ_ZLOB.CCW) che finge di installare un codec video. Quando i visitatori scaricano i falsi codec video, effettuano in realtà il download di alcuni Trojan: TROJ_DNSCHANG.CS, TROJ_ALUREON.AE, TROJ_ALUREON.AH e TROJ_ALUREON.AI.

Queste tipologie di Trojan sono note per modificare il server DNS e i settaggi del browser del sistema coinvolto nell'attacco, rendendolo quindi vulnerabile anche a ulteriori minacce.

Il codice malware risiede su server situati a Columbus (in Ohio), a Concord (in California) e a Mosca. Questo attacco è molto probabilmente opera di una organizzazione cyber-criminale russa/ucraina già responsabile durante lo scorso anno della serie di attacchi con il trojan ZLOB.

Ivan Macalintal di Trend Micro ha commentato: "Questo attacco è del tutto simile a quelli che rileviamo sul Web a livello mondiale; è sufficiente visitare un sito infetto per essere dirottati verso altre destinazioni online dalle quali vengono scaricate diverse forme di malware".