Även stora e-handelssajter som Target och Wal-Mart har eller har haft den skadliga koden på sina webbplatser, enligt Dancho Danchev. Även IT-säkerhetsföretaget Symantec har stämt in i kören av röster som varnar för Iframe-attackerna.

Attackerna går ut på att angriparen lägger in skadlig kod i sparade sökresultat på ett okänt antal legitima webbplatser. Besökare som använder de sökfunktioner som på så sätt smittats av den skadliga koden omdirigeras genom Iframe-koden i sökresultaten till webbsidor som försöker infektera besökarens dator genom att utge sig för att vara IT-säkerhetsprogram eller mediespelare. Slutresultatet av en lyckad attack blir att användarens dator får en version av den trojanska hästen Zlob och andra bakdörrar och program som laddar ner mer skadlig kod till användarens PC.

Både Danchev och Symantec pekar ut fyra ip-adresser som den skadliga koden sprids från.

72.232.39.252

195.225.178.21

89.149.243.201

89.149.220.85

De fyra adresserna är knutna till servrar i USA, Panama och Tyskland, enligt Danchev.

- De huvudsakliga källorna bakom Iframe-attackerna är fortfarande aktiva. Nya versioner av skadlig kod introduceras och läggs upp på servrar som ingår i Russian Business Network. Och vi kommer säkerligen att få se fler välbesökta stora webbplatser bli måltavlor för sökmotoroptimeringsattacker. Sådana SEO-attacker går ut på att lägga in skadlig kod i sparade sökresultat, kombinerade med Iframe-injektioner, skriver Danchev i sin blogg.

På Symantec säger Joji Hamada att det är lite skrämmande att så stora webbplatser som USA Today och ABC News drabbats eftersom de tar säkerhet på allvar och lägger mycket resurser på att skydda sig. Ändå drabbas de av denna typ av attacker.

Även Bloomingdales.com, Webshots.com, Sears, com, Forbes.com, Circuitcity.com, Epinions.com, JCPenney.com och webbplatser som tillhör universiteten i Vermont och Boise State University har skadlig kod på sina webbplatser enligt Danchev.

Symantecs råd är att nätverksadministratörerna ska blockera både inkommande och utgående trafik till de fyra identifierade IP-adresserna. Joji Hamada menar att detta kan vara ett bra tillfälle att gå igenom säkerheten på systemen för alla systemoperatörer. Vanliga användare kan skydda sig genom att inte ta emot filer som webbplatser vill ladda ner till deras datorer.

Källa: Network World