De afgelopen dagen zijn naar schatting 22.000 websites en ruim 500.000 pagina's gehackt en misbruikt voor het verspreiden van nep-virusscanners. De aanval werd het eerst op 14 augustus opgemerkt en is volgens beveiligingsbedrijf Armorize nog steeds gaande. Op gehackte websites wordt een iframe geïnjecteerd, dat bezoekers naar een exploit-toolkit wijst.

Deze toolkit gebruikt verschillende beveiligingslekken in ongepatchte software om een nep-virusscanner te installeren. De nep-virusscanner doet zich voor als "XP Security 2012" onder Windows XP, "Vista Antivirus 2012" onder Vista en "Win 7 Antivirus 2012" onder Windows 7.

Wachtwoord
De websites zouden voornamelijk via gestolen FTP inloggegevens zijn gehackt. Malware weet deze gegevens uit de wachtwoordbestanden van FTP clients te stelen of door FTP-verkeer te sniffen. Via een geautomatiseerd programma worden de bestanden gedownload, het iframe geïnjecteerd en vervolgens weer geüpload.

Onder de gehackte websites bevindt zich ook uwpagina.nl, waar op het moment van schrijven de infectie nog aanwezig is.