Internacional. El proveedor de servicios de seguridad ha descubierto una protección para el ataque masivo contra cerca de diez mil sitios web que usan servidores Linux/Apache, en el Reino Unido, India y otros lugares angloparlantes.

Los servidores infectados no pueden usar las utilidades de QuickTime ni MDAC (usando XMLHTTP y ADODBStream), diapositivas (heapspray), VML (marco clave), SuperBuddy (AOL, LinkSBIcons), AudioFile (NCTsoft), GOM (GomManager openURL), WebFolderView (SetSlice), Yahoo! Messenger (recibir archivo), entre otros.

Se tiene evidencia de que en el ataque se usan las credenciales comprometidas FTP y CPanel. Así, el atacante instala un código que modifica la memoria de Apache para monitorear las solicitudes e inyectar la etiqueta de la programación. Si el código infecta el proceso de ejecución de Apache, éste puede reproducir nuevos procesos no infectados para manejar más solicitudes. Para justificar eso, el código redirige la llamada del sistema para todos los procesos de Apache en ejecución usando la técnica RPI (infección en ejecución).

Para protegerse del ataque las organizaciones deben desactivar la carga en sus configuraciones de módulos. Los visitantes, entretanto, pueden evitar infecciones del código maligno asegurándose de tener actualizados todos sus antivirus y de que todo el software vulnerable tenga parches de seguridad, pues no se han usado vulnerabilidades desconocidas.

Algunas señales apuntan a un origen del ataque en Europa occidental o Norteamérica, pero la investigación prosigue.