Criminelen blijken op grote schaal een beveiligingslek in Adobe Flash te misbruiken waar nog geen patch voor beschikbaar is. Flash is geïnstalleerd op miljoenen computers, wat betekent dat een groot gedeelte van de internetpopulatie risico loopt om besmet te raken. Wat de situatie nog erger maakt, is dat de malware op zo'n 250.000 legitieme websites wordt aangeboden. Via de kwaadaardige Flash-bestanden wordt een Trojaans paard op het systeem geïnstalleerd. De malware werd in eerste instantie door slechts 7 virusscanners gedetecteerd, aldus het Internet Storm Center.

Deze sites zijn via SQL-injectie gehackt en verwezen in eerste instantie naar een extern JavaScript, maar de aanvallers hebben dit nu gewijzigd in een SWF bestand. Het SWF bestand verwijst weer naar een ander SWF bestand genaamd "WIN%209,0,124,0i.swf" (WIN 9,0,124,0i.swf). Daarnaast zouden ook andere exploits actief zijn, genaamd "WIN%206,0,79,0ff.swf" (WIN 6,0,79,0ff.swf), en "WIN%206,0,79,0ie.swf" (WIN 6,0,79,0ie.swf).

Volgens McAfee kan de naamgeving drie dingen betekenen:

1. Exploits voor de verschillende Flash versies, in dit geval 9,0,124,0 en 6,0,79,0.
2. Vanwege de WIN vermelding mogelijk ook exploits voor andere systemen.
3. Exploits zijn er voor zowel IE als Firefox, aangezien de exploit eindigt op i, ie of ff.

Zeer ernstig

Er zijn inmiddels twee domeinen ontdekt die de Flash exploits aanbieden. Een link naar deze domeinen is al op 250.000 sites aangetroffen. Onlangs werd bekend dat via SQL-injectie twee miljoen websites zijn gehackt. Het lijkt dus slechts een kwestie van tijd voordat de exploit ook op een deel van deze pagina's verschijnt.

Voor zover bekend zijn Adobe Flash Player 9.0.115.0 en 9.0.124.0 kwetsbaar, maar waarschijnlijk lopen ook andere versies risico. Vanwege de ernst van de situatie heeft Symantec haar ThreatCon-meter, die de veiligheid van het internet aangeeft, verhoogd naar alarmfase geel. Adobe laat weten op de hoogte te zijn en het probleem te onderzoeken.

De volgende domeinen zijn bij de aanval betrokken: wuqing17173.cn, woai117.cn, dota11.cn en play0nlnie.com. Beheerders wordt opgeroepen deze domeinen te blokkeren. Eindgebruikers wordt geadviseerd Flash te verwijderen of uit te schakelen totdat er een update beschikbaar is. Andere opties zijn het gebruik van NoScript voor Firefox en het instellen van een killbit voor het volgende CLSID: d27cdb6e-ae6d-11cf-96b8-444553540000. Een andere optie is het gebruik van het gratis AxBan dat dit automatisch doet en tevens kwaadaardige ActiveX controls blokkeert.

Beveiligingsonderzoeker Dancho Danchev merkt op dat het nog veel erger had gekund. De malware blijkt alleen wachtwoorden te stelen. "Het verspillen van een zero day exploit die een veel gebruikte speler als Adobe gebruikt voor het infecteren van gebruikers met een wachtwoordsteler, is beter dan een exploit waarmee ze rootkits en banking malware installeren."