De printbom-malware die twee weken geleden werd ontdekt blijkt zich via gehackte htaccess-bestanden te verspreiden. Het gaat om de Milicenso Trojan, waarvan de nieuwste versie een onbedoelde bijwerking op besmette machines heeft. De malware stuurt namelijk een gigantische printjob naar de printserver, die de printer net zolang 'garbage' laat printen totdat al het papier op is.

Volgens Symantec wordt de malware door een .htaccess redirection-aanval verspreid en zouden er tenminste 4..000 websites zijn gehackt door de bende die erachter zit. Het .htaccess-bestand is een configuratiebestand voor webservers waarmee de webmaster bepaalde pagina's kan afschermen of bijvoorbeeld mobiele apparaten speciale websites kan laten zien. De bende achter Milicenso zou tal van kwetsbare webservers hebben gehackt en het .htaccess-bestand hebben aangepast.

Zodra een internetgebruiker de website op de gehackte webserver laadt, wordt ook het aangepaste htaccess-bestand geladen. Dit bestand stuurt de internetgebruiker naar een kwaadaardige website door, die via verschillende beveiligingslekken malware op het systeem plaatst. Deze 'redirect' vindt meestal onzichtbaar voor de gebruiker plaats.

Witregels
Om de aanpassing van het htaccess-bestand te verbergen, plaatsen de aanvallers 800 witregels boven en onder het aangepaste gedeelte. Verder wordt een gebruiker slechts één keer doorgestuurd, om zo detectie of onderzoek door onderzoekers te beletten. De malware werkt alleen op Windows. Wie de gehackte webserver via Linux of Mac bezoekt wordt niet naar de kwaadaardige website doorgestuurd.

Volgens Symantec worden alleen gebruikers van "een populaire webbrowser" doorgestuurd. Bij "onconventionele webbrowsers" of zoekmachines zou er geen redirect plaatsvinden. Om welke browser het gaat wil het anti-virusbedrijf niet zeggen.