Антивирусная лаборатория компании Panda Software зафиксировала появление червя P2Load.A. Этот вредоносный код обладает функциями рекламной программы (adware) и его основной целью является подмена самого широко используемого Интернет-поисковика Google.
P2Load.A распространяется через P2P-сети, а точнее, через пиринговые программы Shareaza и Imesh. Он осуществляет это, копируя себя в папку общего доступа этих программ под видом исполняемого файла с именем Knights of the Old Republic 2, выдавая себя за файл компьютерной игры из серии Звездных Войн. При запуске он отображает сообщение об ошибке, информирующее пользователя о том, что не найден определенный файл, и предлагающее скачать его. При этом червь заражает компьютер и вносит две основные модификации: изменяет стартовую страницу, отображая рекламу, и подменяет Интернет-поисковик Google.
Для этого червь изменяет на компьютере файл HOSTS таким образом, что когда пользователи пытаются открыть Google, они перенаправляются на страницу, выглядящую в точности как Google, но не относящуюся к этой компании – она размещена на сервере в Германии. Страница является точной копией Google и поддерживает все 17 языков Google, а также перенаправляет пользователей, даже при совершении ими ошибки при вводе адреса, например "wwwgoogle.com", www.gogle.com или www.googel.com - поэтому пользователи не могут осознать подмены.
Когда пользователь осуществляет поиск, отображаются результаты, идентичные Google, или же с небольшими вариациями. Однако, спонсорские ссылки, которые обычно отображаются в верхних строчках результатов поиска и соответствуют компаниям, оплатившим эту услугу, изменяются. При определенных поисках отображаются другие ссылки, установленные создателем вредоносного кода, что приводит к увеличению трафика этих сайтов.
То, что червь изменяет HOSTS-файл, заменяя оригинал файлом, скачиваемым с удаленного сайта, вместо того чтобы содержать готовую модификацию в своем коде, означает, что автор может подменять другие популярные сайты, просто изменив содержимое скачиваемого файла и даже использовать прочие фишинговые методы против других сайтов.
"Создатель этого червя пользуется преимуществом, которое получает компания, находясь на первых позициях результатов поиска", - объясняет Луис Корронс, директор лаборатории PandaLabs. "Его целью является повысить посещаемость определенных веб-страниц для создания прибыли компаниям, желающим отображаться на первых местах в Google на зараженных компьютерах: то есть, мотивация автора вредоносного кода является исключительно финансовой".