Der neuartige SQL-Angriff auf Webserver startete Berichten zufolge Ende November. Die Anzahl der gehackten Webseiten ist seitdem kontinuierlich gestiegen. Wie
The Register unter Berufung auf Mary Landesman von
Scansafe berichtet, sind es bereits knapp 300.000. Infizierte Seiten haben ein unsichtbares iFrame, das die Surfer unbemerkt auf eine bestimmte Webseite weiterleitet. Dort lädt die Schadsoftware von verschieden Webseiten Code nach, der den Rechner des Opfers auf häufige Sicherheitslücken absucht, etwa Schwachstellen in
Adobe Flash,
Internet Explorer,
Microsoft Office Web Components oder
Microsoft ActiveX. Findet der Schädling eine Lücke, installiert er den Trojaner Backdoor.Win3.Buzus.croo, der Bankaccount-Daten mitschreibt.
Derartige SQL-Attacken funktionieren, weil manche Web-Anwendungen die Eingaben, die die Nutzer machen, nicht ausreichend überprüfen. So können sie überlistet werden und Angreifer hinterlegen unbemerkt schädlichen Code auf der Webseite, den sich nichtsahnende Surfer herunterladen.