Tout a commencé par une alerte Websense, signalant, sur un ton inquiet, la progression d’une attaque massive en injection SQL. Son nom de code : Lizamoon, en raison du nom de domaine vers lequel pointe une requête de script injectée. « 28 000 sites compromis », clamait l’alerte. Dans la journée du 31 mars, le Sans comptabilisait 226 000 pages frappées par ce mal. L’attaque prenait une ampleur rarement atteinte par le passé. Tard dans la soirée, les requêtes Google culminaient à 380 000, puis retombaient à 240 000, pour repartir de plus belle.
C’est Dancho Danchev qui signe le papier le plus informatif sur le sujet, en dressant, domaine après domaine, la liste des sites liés à cette attaque massive. Tous sont d’origine mafieuses et entrent dans une campagne plus vaste de vente de scareware (faux antivirus). Lequel scareware (en fait un cheval de Troie) aurait un taux de reconnaissance par les antivirus plafonnant à 22%. Un quasi-inconnu. Une simple requête portant sur la chaine script src=http://lizamoon.com donne une petite idée de l’évolution de l’infection.