Een aantal grote internetsites zijn besmet met kwaadaardige zichzelf verspreidende JavaScript-code. Het uit Rusland afkomstige trojaans paard verspreidt zich via deze pagina's razendsnel verder. Om welke sites het gaat, wil beveiligingsspecialist en ontdekker van de uitbraak, NetSec niet zeggen. Het gaat in ieder geval om een veilingssite, een zoekmachine en vergelijkingssite. Men denkt dat de originele webpagina's schoon zijn en dat het hier dus over de caching servers gaat. Als een onwetende bezoeker een plaatje van de site bekijkt wordt de kwaadaardige code meegestuurd. Daarna wordt er contact gezocht met een ip-adres in Rusland of Noord-Amerika waarvandaan een keylogger wordt geïnstalleerd en het systeem wordt opengezet voor ongeautoriseerde toegang voor de aanvaller. Het Russische adres staat bekend als een afzender van spam.
Alleen servers met Microsofts IIS zijn vatbaar voor de gevaarlijke code. Deze maakt gebruik van een bekende beveiligingsfout van deze software. IIS-beheerders ontdekten vreemde .dll-bestanden met javascript code. De code die zich via deze servers verspreidt heeft het alleen gemunt op systemen met Microsoft Windows en Internet Explorer. In de browser zitten twee gevaarlijke bugs die nog niet door Microsoft gepatcht zijn. Er is wel een remedie tegen deze besmetting: het uitzetten van JavaScript of een alternatieve browser. Of er al recente virusdefinities zijn die iets tegen de besmetting kunnen doen blijft nog onduidelijk. De verspreiding is al een paar dagen aan de gang, de eerste ontdekte besmetting dateert van 20 juni.
