Wayne Huang, đồng sáng lập và là CTO của Armorize Technologies có trụ sở tại California, công ty an ninh ứng dụng Web, đã nói: "Đây là một vụ lây lan lớn nhất tôi từng biết bằng cách tấn công drive-by ."

Network Solutions đã tranh cãi rằng con số ước tính của Huang khoảng 500.000 tới 5 triệu trang bị nhiễm nhưng lại không thể đưa ra được cách tính của riêng mình.

Ông Huang cho biết các nhà nghiên cứu của công ty ông ban đầu đã theo dõi sự lây nhiễm này khi công cụ độc hại cài đặt trên trang GrowSmartBusiness.com của họ được host ở Network Solution, sau đó lại phát hiện ra một công cụ tương tự được cài đặt mặc định trên tất cả miền được host trên Herndon.

Những miền đã được đăng ký nhưng lại thiếu đi nội dung . Những kẻ tạo ra phần mềm độc hại đã sử dụng những trang đang trong quá trình được xây dựng để phân tán mã tấn công hoặc giả mạo trong việc xếp hạng các trang web để thu hút người xem.

Ông Huang nói: "Cuộc lây lan lớn nhất tôi nhớ được chính là 1,1 triệu trang. Những lần này thậm chí còn lớn hơn nhiều".

Công cụ này chuyển mọi tên miền bị nhiễm vào một trang tấn công drive –by , trang này dùng bộ công cụ Nuke khai thác những lỗi trong Internet Explorer, Firefox, Chrome và Opera. Nếu hack trình duyệt thành công , một phần mềm download Trojan sẽ tấn công vào PC Windows, việc tìm kiếm sẽ bị chuyển hướng và xuất hiện những trang quảng cáo .

Một số chương trình chống virus đã nhận ra phần mềm tải về như một biến thể của Koobface, đây là một con sâu phần mềm độc hại nổi tiếng nhất trong việc tấn công những người sử dụng mạng xã hội như Facebook.

Huang nói rằng những kẻ tấn công đang kiếm tiền bằng cách quảng cáo trên các máy bị nhiễm, và tự phát tán các phần mềm độc hại bằng việc copy mã tấn công tới những mạng Peer-to-Peer nào được cài sẵn trên hệ thống.

Đoạn mã độc hại hướng mục tiêu là những người sử dụng máy tính ở Đài Loan và Hồng Kông.

Bằng cách dùng vài công cụ tìm kiếm, Huang đã ước tính rằng công cụ lây nhiễm đã xuất hiện trên khoảng 500.000 và 5 triệu tên miền. Vào hôm thứ 2, ông tin rằng con số thực tế còn lớn hơn 2 con số trên. Ông nói: "Thông thường các công cụ tìm kiếm không quan tâm đến các miền chưa được sử dụng", đồng thời cũng nói rằng Yahoo và các trang tìm kiếm khác có thể cung cấp cả những tên miền đã bị lây nhiễm.

Network Solutions đã tranh cãi về con số ước tính này của Huang. Phát ngôn viên Susan Wade của công ty cho biết :" Con số được công bố trong tuần này vẫn chưa chính xác. Chúng tôi vẫn đang điều tra để xác định được số lượng chính xác bị lây nhiễm".

Mặc dù Network Solution đã vô hiệu hoá công cụ này trên tất cả các miền được đăng ký và ngừng hoạt động của trang GrowSmartBusiness.com, ông Huang nói công cụ này vẫn còn tồn tại trên khoảng 5700 trang web đang hoạt động . Và Network Solution cũng chưa thể quét hết được đoạn mã độc hại đang nhằm vào những người sử dụng địa chỉ IP ở Đài Loan và Hong Kong.

Network Solutions khuyến cáo: "Nếu bạn đã tải về công cụ GrowSmartBusiness vào website của bạn, chúng tôi khuyên bạn nên xoá công cụ này và quét trang đó để tìm xem có phần mềm độc hại hay không".

Huang đã theo dõi vấn đề này từ hồi tháng 5 trở lại đây khi Amorize viết bài về một trang web của Network Solution đang sử dụng phần mềm độc hại đối với các khách viếng thăm. Lúc đó, các nhà nghiên cứu của Amorize đã không nhận biết được nguy cơ lây nhiễm này đang tràn lan.

Wade cho biết Network Solution đang cố gắng xác định tiến độ lây nhiễm.

Có thể những nguy cơ lây nhiễm mà Network Solution đã công nhận vào năm nay cũng liên quan tới lần này. Trong tháng 4, công ty quản lý miền này đã phải đối mặt với nguy cơ lây nhiễm quy mô lớn của các blog WordPress, trong khi đó, vào tháng 1, hàng trăm trang mà nó quản lý đã bị xoá.

Ông Huang trong một bài viết trên blog Amorize vào hôm thứ 7 đã nói: "Nếu những sự kiện này được liên kết với nhau thì rõ ràng vào tháng 4, nhóm tấn công đã quyết định tận dụng quyền kiểm soát mà chúng có đối với Network Solutions và lây nhiễm quy mô lớn không phải đối với các trang miền được đăng ký mặc định mà đối với các blog WordPress và/hoặc các trang được lưu trữ".

Huang cho biết: Vụ tấn công vào Network Solutions đã giúp các hacker kiếm được khoản tiền lớn và có thể chính là dấu hiệu cho việc chúng sắp hướng mục tiêu vào các công ty lưu trữ miền.

Ông cũng cho biết thêm "Trong quá khứ, những kẻ tấn công đã gây ra vụ lây nhiễm SQL lớn khi chúng cố gắng dồn mọi trang đơn mà chúng có thể. Nhưng bằng việc tấn công một công ty lưu trữ miền, chúng có thể kiểm soát đối với hàng triệu máy. Do đó mà không cần phải lây nhiễm cho từng trang một."