Warum und wie das schädliche Skript für den Browser, das die Sicherheitslücke ausnutzt, dorthin kam, ist noch nicht geklärt. Zwar haben die Angreifer den Wirkungsgrad ihrer Attacke eingeschränkt und konzentrieren sich lediglich auf die Version 3.6 von Firefox (Die Sicherheitslücke betrifft die Versionen Firefox 3.5 und 3.6). Außerdem sind Systeme mit einer neueren Windows-Version (wie Vista, Windows 7, Server 2008 und Server 2008 R2) nicht betroffen. Das mindert aber die Gefahr, die diese Attacke darstellt, nicht im Geringsten, wenn man bedenkt, wie viele Anwender noch Windows XP im Einsatz haben.
Wenn ein Anwender die Seite besucht, wird auch das Schadprogramm geladen und läuft nur in der Browserumgebung. Dabei wird es möglich, ohne Abfrage schädliche Programme von anderen Seiten zu laden und auf dem System des Besuchers auszuführen. Das heißt, Programmcode kann die Umgebung des Browsers verlassen und im Betriebssystem aktiv werden. Der Schädling - den die Sicherheitsexperten von Trend Micro als BKDR_NINDYA.A identifiziert haben - holt sich dann Befehle von einem Kontroll- und Kommandoserver. Dazu gehört das Herunterfahren des Opfersystems, aber auch das Löschen aller Dateien auf dem System.
Mozilla empfiehlt als Schutz die Noscript-Erweiterung zu nutzen, bis ein Patch verfügbar ist. Auch gilt die neueste Firefox-Version 4 Beta als sicher.
Trend Micro schützt
Trend Micro schützt seine Anwender vor der beschriebenen Attacke über das Trend Micro(TM) Smart Protection Network(TM) . Diese Content- Sicherheitsinfrastruktur sorgt mit ihren eingebauten Webreputationsdiensten dafür, dass die Weiterleitung auf die bösartigen Webseiten unterbunden wird. Mithilfe des Dateireputationsdienstes erkennt die Software zudem bösartige Dateien und behandelt sie entsprechend.