Zoals verwacht heeft het overlijden van Michael Jackson voor een explosie aan malware, scams en spam gezorgd. Amper uren nadat het nieuws bekend werd verschenen kwaadaardige blogs, MSN- en spamberichten. Google ontving zoveel zoekopdrachten, dat het een geautomatiseerde aanval vermoedde. Hierdoor was Google News voor sommige gebruikers een klein half uur onbereikbaar.

Nep-virusscanners
Het verwijderen van de kwaadaardige blogs lijkt weinig uit te halen. "Nieuwe blogs verschijnen net zo snel als de blogdiensten ze kunnen uitschakelen", zegt Andrew Brandt van Webroot. De malware wordt voornamelijk gebruikt voor het verspreiden van nep-virusscanners en het laden van advertenties. Eén van de ontdekte scripts riep in 32 seconden 500 URLs aan. Naast weblogs, gebruiken de cybercriminelen ook MSN om slachtoffers tot het openen van ongewenste bestanden te verleiden. De MSN-bots verspreiden berichtjes die naar het bestand PIC-IMG029-www.hi5.com.exe leiden.

Scams
Websense maakte een video van wat er gebeurt als gebruikers de verleiding niet kunnen weerstaan en toch op een link in een spambericht klikken. In dit geval gaat het om een .scr bestand, die door nog geen 25% van de virusscanners wordt herkend. Naast malware, grijpen internetoplichters de dood van Jackson aan om geld van fans los te peuteren. Deze scam probeert mensen via Western Union geld naar de "Michael Jackson Organization" over te laten maken.

Profielen
Ook Security.nl ontving op het forum verschillende anonieme reacties die het overlijden als lokaas gebruikten. Het eerste bericht verscheen vrijdag om kwart over drie Nederlandse tijd. De spammers gebruiken in dit geval bekende websites waarop ze profielen aanmaken. Daardoor lijkt de link betrouwbaarder, zoals in dit voorbeeld. Wie de link opent wordt aangespoord om nog een keer door te klikken, in dit geval naar de site vbesttube.com. Dit is een zogenaamde pornosite waarbij alle linkjes naar het bestand video_codec.V2.exe linken.

Microsoft's Security Essentials wist de malware niet te herkennen, ook al is dit een bekend malware domein. De criminelen achter de site passen de malware regelmatig aan, aangezien VirusTotal hem vrijdag al herkende. Wat niet geldt voor anti-virus software. Slechts 7 van de 41 scanners detecteerden de malware toen. Vanochtend gaat het om een nieuwe versie van de VideoCodec, die in dit geval bij 9 van de 41 virusscanners (22%) het alarm laat afgaan. De anonieme reactie werd vanzelfsprekend niet goedgekeurd.