19 september 2005
Een virus met de naam P2Load2.A
waart rond op het internet. Het virus doet zich voor als een Star
Wars-spel, maar neemt indien geactiveerd Google over. Wie een zoekterm
invoert, krijgt een nepsite voorgeschoteld, compleet met valse
zoekresultaten en gesponsorde links. De worm is ontdekt door PandaLabs,
de R&D-afdeling van Panda Software. P2Load2.A verspreidt zich via
ruilnetwerken als Shareaze en Imesh. De worm kopieert zichzelf in de
gedeelde map van deze programma’s en neemt daarbij de identiteit aan
van Knights of the Old Republic 2, een Star Wars-spel. Gebruikers die
het corrupte bestand downloaden en aanklikken, krijgen een foutmelding
voorgeschoteld met de uitnodiging de juiste versie van het game te
downloaden. Wie ingaat op de uitnodiging, wordt op twee manieren in de
maling genomen.
De meest zichtbare besmetting is de aanpassing van de startpagina van
de browser. Tegelijkertijd wordt het HOSTS-bestand op een
Windows-computer veranderd, het bestand waarmee u bepaalde
internetadressen kunt blokkeren of omleiden. De worm leidt het verkeer
naar de populaire zoekmachine Google om. Wie surft naar Google, wordt
in werkelijkheid naar een nepsite gestuurd die niet van de echte
zoekmachine te onderscheiden is, inclusief ondersteuning voor de 17
taalversies.
De maker van de worm houdt zelfs rekening met tikfouten. Wie per
ongeluk de url van Google verkeert intikt, bijvoorbeeld www.googel.com
of www.gogle.com, wordt alsnog naar de nepsite doorgestuurd. De
zoekresultaten van de nep-Google wijken op het eerste gezicht
nauwelijks af van de echte. Af en toe wordt de volgorde van de
zoekresultaten gewijzigd, waarbij bepaalde websites, door ingrijpen van
de maker(s) van de worm, hoger in de lijst komen te staan. Dat is ook
het geval voor de gesponsorde zoekresultaten rechts bovenaan, die
vervangen worden door links naar andere websites. De wijzigingen zijn
zo subtiel, dat een genfecteerde gebruiker niet eens opmerkt dat hij
gebruikt maakt van een Google-imitatie. Volgens PandaLabs hebben de
makers van de worm louter financile motieven: ‘Het doel van deze worm
is het verkeer naar bepaalde websites te verhogen, of geld te krijgen
van bedrijven die bovenaan de lijst van zoekresultaten willen
verschijnen.’ Het is bovendien kinderspel om ook het verkeer naar
andere zoekmachines om te leiden, waarschuwt de maker van
beveiligingssoftware. PandaLabs heeft inmiddels het Duitse
webhostingbedrijf dat onderdak bood aan het corrupte HOSTS-bestand, op
de hoogte gebracht. Het bedrijf heeft daarop onmiddellijk de website in
kwestie offline gehaald, waardoor het gevaar van de worm drastisch is
verminderd, aldus PandaLabs.