В ходе атаки на главные страницы сайтов при помощи SQL-инъекции устанавливается вредоносный JavaScript с замаскированным кодом, который выглядит, как скрипт Google Analytics. Из-за обфускации выявить его весьма проблематично.

После установки скрипт перенаправляет посетителей ресурса на специальный сервер, который анализирует их машины на наличие десяти различных уязвимостей. Если таковые не обнаруживаются, пользователь видит всплывающее окно, уведомляющее его о том, что компьютер заражен и предлагающее установить фальшивый антивирус. Код этого антивируса имеет полиморфную структуру и не определяется большинством настоящих антивирусов.

Данный эксплоит имеет много общего с недавней массовой хворью, известной под названием Gumblar ,которая так же вставляет на сайты замаскированные скрипты и уже успела заразить около 60 000 веб-сайтов. Тем не менее, ряд отличий заставляет экспертов Websense считать, что две этих атаки не связаны между собой.

После деобфускации становится видно, что скрипт указывает на клоны легальных доменов Google Analytics, в названии которых умышленно сделаны орфографические ошибки. Ранее такой тактикой отличалась RBN (Russian Business Network), поэтому ее причастность или непричастность к данному случаю устанавливается.