Im Security Labs Blog-Beitrag New Mass Injection Wave of WordPress Websites on the Prowl vom 5.3.2012 beschreibt Websense die Funktionsweise des Angriffs, der letztlich auf der Website eines vorgetäuschten Antivirus-Unternehmens zum Download eines als AV-Software getarnten Trojaners animieren soll. Prinzipiell neu ist diese Angriffsmethode nicht, und die meisten AV-Programme kennen auch die Gefahrenquelle (ionis90landsi.rr.nu) schon:
Auslöser der Infektionswelle seien insbesondere gekaperte WordPress-Installationen, zu erkennen an folgender eingeschleusten Code-Zeile (kurz vor dem </body>-Tag):
Mit dem Code infiziert seien derzeit mehr als 200.000 Webseiten, davon über 85% in den USA. Warum in der Hauptsache amerikanische WordPress-Websites betroffen seien und wie der Schadcode in die WordPress-Installationen gelangen konnte, erwähnt zwar der Blog-Post nicht, aber in einem Kommentar (Autor: „Rich”) wird der plausibel erscheinende Hinweis gegeben, dass ein großer amerikanischer Webhoster kompromittierte Installationspakete ausgeliefert habe.