Schädlicher Code versteckt sich in höherem Maß als angenommen auf legitimen Webseiten. Einem
Bericht des Virenschutzherstellers Avast zufolge kommen auf eine zwielichtige Seite, auf der sich schädliche Software versteckt, 99 legitime Webseiten, die unbemerkt mit Schadcode infiziert sind. Häufig verbreitet sich der Code über infizierte
Werbebanner. Mit etwas Pech muss ein Surfer die Anzeige nicht einmal anklicken, um sich einen Trojaner auf den Rechner zu holen - ein Besuch der kompromittierten Webseite reicht. Cyberkriminelle nutzen beispielsweise schädlichen Javascript-Code oder versteckte iFrames, um eine Webseite - und damit auch die PCs, die sie besuchen - zu infizieren. Ein solcher iFrame-Angriff
traf im September vergangenen Jahres die Webseite der New York Times. Avast berichtet von einer Infektion der britischen Vodafone-Webseite, die verschiedene Attacken kombiniert. Sie nutzt die
aktuelle Schwachstelle in der Windows-Hilfe aus. Vor ihr sind selbst Surfer, deren Betriebssystem auf dem neuesten Stand ist, nicht geschützt.