De afgelopen dagen zijn meer dan 150.000 webpagina's via SQL-injectie gehackt en voorzien van een iframe dat bezoekers met malware probeert te infecteren. De iframes downloaden het eerste deel van de malware van het domein 318x.com, om vervolgens via andere redirects en iframes de overige kwaadaardige code binnen te halen. Volgens Mary Landesman van beveiligingsbedrijf ScanSafe gaat het om een "work-in-progress" aanval en zijn de aanvallers continu bezig met het aanpassen en veranderen van scripts. Opmerkelijk genoeg worden er geen PDF exploits gebruikt, maar een combinatie van Adobe Flash, MDAC ADODB.Connection ActiveX, Microsoft Office Web Components, Microsoft video ActiveX en Internet Explorer Uninitialized Memory Corruption lekken.

Is één van de exploits succesvol, dan wordt er vanaf windowssp.7766.org de backdoor Buzus.croo geïnstalleerd. De backdoor maakt via poort 80 verbinding met het IP-adres 121.14.136.5 en stuurt een POST request naar ns.winsdown.com.cn/Countdown/count.asp. De Buzus familie wordt meestal via IRC bestuurd en gebruikt voor creditcard diefstal en plunderen van bankrekeningen. Het aantal geïnfecteerde pagina's blijft onduidelijk. Volgens Google gaat het om ruim 150.000, terwijl Yahoo 300.000 gehackte pagina's vindt.