Ταχύτατα εξαπλώνεται «διαδικτυακή μόλυνση», παραπλανώντας τους επισκέπτες διαφόρων site
Μέσα σε λίγες μέρες οι μολυσμένες σελίδες αυξήθηκαν σύμφωνα με εκτιμήσεις από 28.000 (στις 29/3), σε 226.000 και αργότερα σε 380.000 (στις 01/04). Οι άγνωστοι δράστες φέρονται να εκμεταλλεύτηκαν ένα κενό ασφάλειας στο λογισμικό Microsoft SQL Server που χρησιμοποιούν πολλοί δικτυακοί τόποι, προσθέτοντας μια γραμμή κώδικα στους servers. Ακολουθώντας την τεχνική «SQL injection attack» (επίθεση με εισαγωγή κώδικα SQL), οι δράστες εισήγαγαν στους ξένους δικτυακούς τόπους τον κώδικα μέρος του οποίου ήταν «[...]lizamoon.com/ur.php[...]» (εξ’ ου και το όνομα που δόθηκε στη μόλυνση).
Έτσι οι hacker ανακατευθύνουν με αυτόματο τρόπο τους επισκέπτες των δικτυακών τόπων σε δικές τους, μολυσμένες διευθύνσεις. Εκεί, οι χρήστες βλέπουν ένα μήνυμα που τους προειδοποιεί ότι οι υπολογιστές τους είναι μολυσμένοι με ιούς, και τους συνιστά να κατεβάσουν ένα πρόγραμμα με την ονομασία Windows Stability Center. Όμως δεν πρόκειται για υπαρκτό software της Microsoft αλλά για ένα πρόγραμμα που μεταμφιεσμένο antivirus, τελικά δίνει στους hacker τον έλεγχο του συστήματος.
Η πρώτη διεύθυνση όπου στέλνονταν οι ανυποψίαστοι χρήστες (lizamoon.com) έπαψε μεν να λειτουργεί (τα στοιχεία δείχνουν ότι δημιουργήθηκε πριν μερικές μέρες), φαίνεται όμως ότι οι hacker ενεργοποιούν άλλες διευθύνσεις στη θέση της. Στην εξάπλωση της μόλυνσης φέρεται να έχει διευκολύνει και το iTunes το οποίο κατεβάζει μέσω RSS/XML ενημερώσεις για τα podcast και τα λοιπά αρχεία. Μέσω τέτοιων ροών XML πιθανότατα να επιταχύνθηκε η εξάπλωση του LizaMoon.
Για όλους τους χρήστες συστήνουμε (εκτός από το να έχουν συνεχώς ενημερωμένο antivirus και firewall) είναι να μην κατεβάζουν λογισμικό που τους προτείνουν άγνωστοι δικτυακοί τόποι, ακόμα και αν φαινομενικά προέρχεται από γνωστή εταιρεία.
