Een doehetzelfkit die door Russische computercriminelen voor 20 dollar wordt aangeboden blijkt massaal door andere criminelen gebruikt te worden voor het installeren van Trojaanse paarden. Inmiddels zijn er zo'n 1000 websites die via drive-by installaties de malware installeren. Het Trojaanse paard installeert zichzelf via een van de zeven exploits waar de gereedschapskist van voorzien is, en kan toetsaanslagen opslaan, extra code downloaden of backdoors openen.

De Web Attacker tool bevat ook een grafische interface voor het instellen van de server om de exploit werkend te krijgen. Daarnaast zijn er ook details aanwezig over welke virusscanners de tool niet detecteren en hoe het precies werkt. Websites die de Trojans hosten houden netjes het aantal bezoekers bij, hoeveel er geinfecteerd zijn, uit welk land ze komen en welk besturingssysteem en browser ze gebruiken.

De toolkit is behoorlijk succesvol, het weet namelijk 3% tot 13% van de bezoekers te infecteren. In deze waarschuwing is ook het aantal machines te zien dat niet gepatcht is voor een van de lekken die de tool gebruikt. Een verontrustend hoog percentage.

Security bedrijf Websense denkt dat meer dan 10.000 internetgebruikers al via de toolkit zijn geinfecteerd. Volgens de aanbieders van de tool wordt die niet geblokkeerd door firewalls zoals Agnitum Outpost, Zone Alarm, Sygate Personal Firewall.