I ricercatori di sicurezza di Panda Software hanno scoperto un nuovo worm che fa uso di una tecnica di spoofing ai danni del famoso motore di ricerca Google. P2Load.A, questo il nome identificativo attribuito al virus da PandaLabs, dirotta gli utenti del sistema infetto su un sito-fake di Google ed esegue software adware. Il virus sembra diffondersi prevalentemente sulle reti P2P.

Google non ha ancora commentato la scoperta del nuovo codice virale. Il colosso della ricerca era già stato preso di mira dai virus writers nel Dicembre 2004 con la realizzazione del worm Santy, che sfruttava il motore di ricerca per trovare potenziali vittime di attacco.

P2Load.A si copia nella directory di condivisione dei software P2P camuffandosi da file eseguibile Star Wars-themed video game, Knights of the Old Republic 2. Quando il file viene eseguito sul sistema si riceve un messaggio di errore fasullo che non è altro invece che la conferma che il virus si è insediato nel computer vittima. Una volta attivo il virus modifica la pagina iniziale del browser ed esegue una serie di modifiche intese allo spoofing di Google.

P2Load.A modifica il file Hosts di sistema in modo tale che quando un utente richiama la URL del motore di ricerca viene dirottato in maniera automatica su un sito clone, che a quanto pare è hostato in Geramnia. La pagina web fraudolenta è del tutto simile a quella legittima di Google tanto da supportare anche le 17 lingue diverse. Per giunta il virus attiva il subdolo redirect anche per le URL con errori di digitazione come wwwgoogle.com, www.gogle.com, or www.googel.com. Quando un pc infetto con P2Load.A esegue una query di ricerca sul sito fasullo, vengono restituiti perfino risultati simili a quelli che offrirebbe Google stesso. Ciononostante vengono mostrati advertisements diversi e links alle aziende verosimilmente responsabili della creazione del worm.

Questo tipo di attacco sembra essere mosso dall'unico scopo di fare soldi, incrementando il traffico su specifici siti web. Luis Corrons, director di PandaLabs, commenta: "The creator of this worm has taken advantage of the importance of a company appearing among the first few links in the search results of an Internet browser ... Its aims are none other than to increase visits to the pages linked by the creator of this malware or earn an income from companies that want to appear in the first few results in computer where the identity of Google has been spoofed: In both cases, the motivation of the author of this malware is purely financial."

Panda avverte che il virus potrebbe essere usato per eseguire lo spoofing di altri siti popolari dato che non include nel codice le modifiche al file hosts ma bensì ne scarica uno sostituivo direttamente dal web. La casa antivirus ha annunciato comunque di essere riuscita a far metter offline almeno uno dei file che venivano scaricati dal worm, contattando direttamente il Service Provider di hosting.