За словами спеціаліста з IT-безпеки Cisco Systems Джейсона Шульца, задіяні у цій атаці доменні адреси були розміщені у блоці IP-адрес, що належать одному провайдеру.

Результати дослідження Cisco показують, що в атаці були задіяні  393 IP-адреси з одного блоку. В компанії кажуть, що імена шкідливих доменів завжди починалися із серії цифр у під доменах та закінчувалися випадковими словами у домені другого рівня. При цьому слова найчастіше були беззмістовним набором літер. Деякі домени ще робочі, проте більшість із них уже не відповідають.

Експерти Cisco Systems стверджують, що більшість шахрайських доменів зареєстрували 28 листопада 2013 року. Більшість мали хостинг в Україні, а деякі – у Канаді.

Минулого тижня впродовж кількох днів рекламні банери на ресурсі Yahoo! розповсюджували віруси. Клікаючи на рекламне повідомлення, користувачі опинялися на сторінці зі шкідливими програмами. Свої комп’ютери заражали понад 27 тисяч користувачів на годину.  Найбільше заражень відбулося в Румунії, Великобританії та Франції.