De websites livestrong.com en eHow.net verspreiden via een ‘drive-by download’ malware. Deze malware maakt geïnfecteerde computers onderdeel van een botnet, wat wordt bestuurd via een Nederlandse server.
Livestrong.com is een partner van de Livestrong Foundation (voorheen bekend als de Lance Armstrong Foundation). eHow.com is volgens de website ‘een portal met kennis over 30 categorieën onderwerpen, waarmee bezoekers worden geholpen met de uitdagingen in het leven’.
De kwaadaardige code (“payload”) op deze websites wordt verspreid via een iframe dat op webpagina’s wordt geïnjecteerd. De payload maakt gebruik van beveiligingslekken in Flash versies 10.1.x tot en met 11.2.x om computers van bezoekers automatisch te besmetten. Deze kwetsbaarheid is door Adobe op 12 november 2013 verholpen door het uitbrengen van een patch. Hierdoor zijn alleen computers die niet goed zijn geüpdatet kwetsbaar.
Na succesvolle infectie wordt de getroffen computer onderdeel van een botnet. De Command & Control server van dit botnet bevindt zich op het internet domein wqgc.alphaeffects.net (IP-adres 95.211.169.162). Dit domein is ondergebracht bij Leaseweb B.V.
Op 28 januari waarschuwde Nathan Fowler voor de verspreiding van malware via beide websites. Volgens de onderzoeker van het blog Malware Don’t need Coffee stond op beide websites al sinds 9 december 2013 een verwijzing naar domeinen met malware.