Jak informuje firma Websense, zajmująca się komputerowym bezpieczeństwem, w Internecie istnieje juz ponad 2 tysiące stron infekujących komputery poprzez błąd w Windows, związany z przetwarzaniem plików animowanych kursorów ( .ani ). Owe strony albo same zawierają exploity, albo przekierowują użytkownika do innych stron ze "złośliwym" kodem.
Jak zauważają pracownicy Websense, liczba tego typu stron gwałtownie wzrosła od chwili opublikowania informacji o luce w systemie operacyjnym Microsoftu ( 2. marca br. ). Przypomnijmy, iż luka dotyczy systemów Windows 2000, XP, Windows Server 2003 oraz Vista i związana jest z obsługą animowanych kursorów. Do przeprowadzenia skutecznego ataku wystarczy skłonić użytkownika systemu, by otworzył plik kursora - zwykle plik z rozszerzeniem .ani. ( np. wysłany e-mailem lub osadzony na stronie WWW ).
W obliczu dużej liczby exploitów wykorzystujących ten błąd Microsoft przyspieszył nawet udostępnienie stosownej łatki - http://www.pcworld.pl/news/108667.html, która - jak się potem okazało - sprawia nieco problemów - http://www.pcworld.pl/news/108914.html po zainstalowaniu.
Przedstawiciele Websense informują, że w wykorzystywaniu tego błędu wyspecjalizowały się dwie grupy cyberprzestępców - jedna z nich działa w obrębie południowo-wschodniej Azji , druga - w Europie Wschodniej. Jedną z wykorzystywanych przez nich technik jest wyszukiwanie słabo zabezpieczonych serwerów i przekierowywanie ruchu z umieszczonych na nich serwisów WWW do innych stron, wykorzystujących lukę w systemie. Inną metodą działania jest osadzanie ukrytych okien, umożliwiających wykonanie niebezpiecznego skryptu.
Grupa "europejska" znana była już wcześniej z wykorzystywania słabości Windows - Websense przypisuje jej m.in. tworzenie exploitów wykorzystujących luki związane z obsługą plików WMF czy VML. Główną ich motywacją ma być wykradanie danych bankowości online od nieświadomych internautów, a poligonem działań - jak wskazuje dołączona mapka - serwery i użytkownicy w USA.
