De met Trojaanse paarden besmette reclames die afgelopen zaterdag op verschillende grote websites zoals Nu.nl, Startpagina.nl en The Register te zien waren, zijn mogelijk onderdeel van een veel grotere aanval. Er is een groep hackers, mogelijk zelfs een criminele bende, ontdekt die overal op het internet web servers hacken en rootkits installeren. De rootkits injecteren code op de pagina's die vanaf de gehackte web servers worden geladen. De geinjecteerde code werkt als een voordeur naar een serie van gecompromitteerde hosts die door de cybercriminelen bestuurd worden. Op deze hosts is de exploit code actief die van het IFRAME lek in Internet Explorer misbruik maakt. "Het lijkt op de Download.Ject malware, alleen dit keer werkt het op Apache servers in plaats van Windows. Via IFRAME kunnen sites van alles tot 8MB aan exploits op een PC installeren, zoals virussen, Trojaanse paarden, scripts, malware pakketten, noem maar op", aldus Christopher Boyd van Vitalsecurity. Volgens F-Secure zijn er gigantisch veel mensen met het Trojaanse paard geinfecteerd. Het spoor van de malware zou bij een Braziliaanse website doodlopen. Aangezien er nog geen patch voor het lek is raadt het anti-virusbedrijf gebruikers aan om Service Pack 2 te installeren of een andere browser te gebruiken.