Исследователи группы M86 Security выпустили предупреждение, в котором сообщили, что недавно проснувшийся ботнет Asprox начал активную деятельность. Но в отличии от предыдущих сдучаев, на этот раз Asprox не ограничился лишь рассылкой спама и активно занялся заражать веб-сайты, чтобы расширить свои владения. Боты Asprox (Net-Worm.Win32.Aspxor) нацелены на поиск уязвимых веб-сайтов, размещенных на Microsoft IIS (Internet Information Server), который использует технологию ASP (Active Server Pages), и, используя SQL-инъекции, внедряют iframe-редиректы. PS Когда пользователь заходит на взломанный сайт, редирект перенаправляет браузер на цепочку поддоменов с вредоносным JavaScript-кодом, ведущую на сайт с эксплойтами. В случае успешной эксплуатации на машину жертвы загрузится копия бота. Эксперты отмечают, что этот функционал, обеспечивающий распространение Asprox по Сети, присутствовал в нем и ранее. M86 Security обнаружила три домена, к которым обращаются боты Asprox для получения инструкций. Они размещены в fast-flux сети и все привязаны к зоне .ru.  Зашифрованный xml-файл, который получает Asprox с командного сервера, вместе со спам-шаблоном, списком почтовых адресов и обновлениями содержит также данные для модификации SQL-запроса и списки сайтов-мишеней. По свидетельству M86 Security, количество поддоменов, на которых размещен зловредный JavaScript, невелико, но все они находятся в российской национальной зоне. Количество легальных сайтов, взломанных Asprox, на настоящий момент превысило 5 тысяч.