Het Gumblar virus dat in mei en juni via tienduizenden gehackte websites malware verspreidde, is na een periode van stilte ontwaakt voor een herfstoffensief, waarbij het de gekaapte websites nu gebruikt voor het hosten van malware. Bij een normale uitbraak, zijn er gehackte websites die de door de aanvaller gehoste malware verspreiden, maar in dit geval bevindt de malware zich op duizenden legitieme websites die eerder door Gumblar zijn overgenomen.

In de meeste gevallen gaat het om kleine "mon and pop" websites in niet Engelstalige landen. Om toch voldoende verkeer te genereren, plaatsen de aanvallers op talloze fora een iframe dat naar een kwaadaardig script op de gehackte website wijst. De geïnjecteerde fora zouden voornamelijk feeds verzamelen en die doorgeven aan gebruikers, die vervolgens aan het iframe worden blootgesteld. Het kwaadaardige script controleert de Adobe Reader en Adobe Flash versies, maar bevat ook een exploit voor de Microsoft Office Web kwetsbaarheid. Volgens VirusTotal wordt de nieuwe malware door slechts 7 van de 41 virusscanners herkend.