SQL injection em massa

Recentemente foi descoberto um ataque de SQL injection que está a ser feito em massa:

Mass exploits with SQL Injection
http://isc.sans.org/diary.html?storyid=3823

O ataque é interessante. Usa uma string longa, ofuscada com a instrução CAST (que faz um cast, converte um inteiro longo escrito em hexadecimal para string). O ataque escreve um url para o script colocado num site (http://yl18.net/0.js) em todos os objectos do tipo "varchar" em todas as linhas de tipo U (user table) da tabela sysobjects (que contém meta-informação no IIS).