Если говорить вкратце, то попутно с отображением баннера незаметно исполнялся скрипт, расположенный на сервере злоумышленников, который и перенаправлял пользователя на веб-страницу с эксплойтами. В итоге, специалисты из ЛК пришли к выводу, что статичный баннер-картинка на легитимных веб-сайтах был заменен на флеш-ролик с «изюминкой». Оставался один вопрос — каким образом? Как выяснилось, на всех зараженных таким образом веб-сайтах была установлена баннерная платформа OpenX. А в декабре прошлого года для OpenX был представлен новый модуль — Open Flash Chart 2. Примечательно, что в этом модуле чуть раньше была найдена уязвимость, которая и позволяла злоумышленникам загружать на сервер исполняемый код. Похоже, разработчики OpenX не знали об этой уязвимости и предложили своим пользователям скачать попрежнему уязвимую версию модуля. В результате такой оплошности среди зараженных веб-сайтов оказались, например, thepiratebay.org, esarcasm.com, tutu.ru и множество других ресурсов, которые использовали платформу OpenX и уязвимый модуль. Злоумышленники также позаботились о том, чтобы пользователи OpenX не смогли обновиться до последней версии продукта с исправленной уязвимостью, для чего организовали DDoS-атаку на официальный веб-сайт проекта – openx.org. Веб-сайт до сих пор находится в нерабочем состоянии, однако ссылка на новый дистрибутив функционирует — его можно скачать отсюда.

Администраторам ресурсов, использующих OpenX, рекомендуется установить новую версию платформы либо временно удалить файл admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php из директории, в которой установлен OpenX.