Het aantal gestolen FTP-logins op een criminele server groeit nog steeds, waardoor het beveiligingsbedrijf dat de aanval ontdekte, niet genoeg middelen heeft om alle getroffen bedrijven op tijd te waarschuwen. Gisteren werd bekend dat aanvallers de FTP-logins van Symantec, McAfee, Monster.com, Cisco, BBC en nog duizenden andere bedrijven via een Trojaans paard hadden bemachtigd. Anti-virusbedrijf PrevX dat met het nieuws naar buiten kwam, is bang voor een "China-syndroom". Waarbij steeds meer gebruikers via drive-by aanvallen besmet raken, de aanvallers zo meer FTP-gegevens bemachtigen en weer meer gebruikers kunnen infecteren. Het aantal kwetsbare FTP-sites is in korte tijd van 66.000 naar 74.000 gestegen.

Eenmaal actief op het systeem, zoekt het Trojaans paard in de cache naar opgeslagen FTP-logins. Gevonden inloggegevens stuurt het vervolgens naar een server op de Kaaimaneilanden. Een ander deel van de malware roept een script op de server aan, die vervolgens inlogt op de FTP-server en alle index pagina's (ASP, PHP en HTML) van een kwaadaardig script voorziet. De malware die via de drive-by aanvallen wordt verspreid steelt niet alleen FTP-logins. Ook installeren criminelen op besmette systemen wachtwoordstelers en rootkits.