<img src="http://upload.userbase.be/upload/googleworm_kl.jpg" align="left" width="120" height="100">Nep-Google schotelt valse zoekresultaten voor. Een virus dat zich voordoet als een Star Wars-game kaapt in werkelijkheid het verkeer naar Google. Wie wil surfen naar de zoekmachine, krijgt een nepsite voorgeschoteld, compleet met valse zoekresultaten en gesponsorde links. De worm werd vorige week ontdekt door PandaLabs, de onderzoeksafdeling van Panda Software.
P2Load2.A verspreidt zich via ruilnetwerken als Shareaze en Imesh. De worm kopieert zichzelf in de gedeelde map van deze programma's en neemt daarbij de identiteit aan van Knights of the Old Republic 2, een Star Wars-game.
Gebruikers die het corrupte bestand downloaden en aanklikken, krijgen een foutmelding voorgeschoteld met de uitnodiging de juiste versie van het game te downloaden. Wie ingaat op de uitnodiging, wordt op twee manieren in de maling genomen.
De zichtbaarste besmetting is de aanpassing van de startpagina van de browser. Maar onder de motorkap voert de worm een andere, meer slinkse operatie uit. De worm verandert het HOSTS-bestand op een Windows-computer, een bestand waarmee u bepaalde internetadressen kunt blokkeren of afleiden.
Door deze aanpassing kaapt de worm het verkeer naar de populaire zoekmachine. Wie surft naar Google, wordt in werkelijkheid afgeleid naar een nepsite die niet van de echte zoekmachine te onderscheiden is - inclusief ondersteuning voor de zeventien taalversies.
De maker van de worm houdt zelfs rekening met tikfouten. Wie per ongeluk de URL van Google verkeerd intikt, bijvoorbeeld (www.googel.com) of (www.gogle.com) wordt alsnog naar de nepsite doorgestuurd.
De zoekresultaten van de nepsite wijken op het eerste zicht nauwelijks af van de echte. Af en toe wordt de volgorde van de zoekresultaten gewijzigd, waarbij bepaalde websites, door ingrijpen van de maker(s) van de worm, hoger in de lijst komen te staan.
Dat is ook het geval voor de gesponsorde zoekresultaten rechtsbovenaan, die vervangen worden door links naar andere websites. De wijzigingen zijn zo subtiel dat een geïnfecteerde gebruiker niet eens opmerkt dat hij gebruikmaakt van een Google-imitatie.
Volgens PandaLabs hebben de makers van de worm louter financiële motieven: "Het doel van deze worm is het verkeer naar bepaalde websites te verhogen of geld te krijgen van bedrijven die bovenaan de lijst van zoekresultaten willen verschijnen." Het is bovendien kinderspel om ook het verkeer naar andere zoekmachines om te leiden, waarschuwt de maker van beveiligingssoftware.
PandaLabs heeft inmiddels het Duitse webhostingbedrijf gecontacteerd dat onderdak bood aan het corrupte HOSTS-bestand. Het bedrijf heeft daarop onmiddellijk de website in kwestie offline gehaald, waardoor het gevaar van de worm drastisch is verminderd, aldus PandaLabs.
Bron: ZDNet van 19 september 2005
