El gusano, P2Load.A, se propaga por medio de redes P2P concretamente a través de los programas Shareaza e Imesh
La compañía Panda Software advirtió sobre la aparición del gusano P2Load.A, un malware con funciones de adware cuya principal funcionalidad radica en la suplantación del buscador Google, uno de los más usados por los internautas.
El gusano, P2Load.A, se propaga por medio de redes P2P (peer to peer), concretamente a través de los programas Shareaza e Imesh. Para ello, se copia en la carpeta compartida de dichos programas como un ejecutable denominado “Knights of the Old Republic 2”, haciendo referencia a un juego de computador relacionado con la saga Star Wars.
Una vez es ejecutado, muestra un mensaje de error advirtiendo de la no existencia de un determinado fichero, y ofreciendo la descarga del mismo si se acepta. Si esto ocurre, el computador ha sido infectado, momento en que ocurren dos modificaciones, principalmente: por un lado, este gusano modifica la página de inicio, mostrando otra con publicidad; por otro lado, suplanta al buscador Google.
Para esto último, el gusano lleva a cabo la modificación del fichero HOSTS del equipo, de modo que cuando el usuario solicite visitar la página de Google, éste sea redireccionado a otra página, exactamente igual que la de Google, pero ajena a la compañía, alojada en un servidor en Alemania.
La copia de la página de Google es exacta, e incluye tanto soporte para 17 idiomas de Google, como redirección incluso si el usuario se equivoca tecleando, como “wwwgoogle.com”, “
www.gogle.com” o “
www.googel.com”, por lo que el usuario no advertirá el cambio.
Cuando el usuario desee llevar a cabo una búsqueda, éstas se mostrarán correctamente o con ligeras variaciones en el orden de los resultados con respecto a cómo los mostraría Google, pero lo que sí varía son los “enlaces patrocinados” que, en un uso normal, aparecen en la parte alta de los resultados, y que corresponden a aquellas compañías que pagan por este servicio.
En su lugar, con determinadas búsquedas, aparecen otras, especificadas por el creador del malware, con el aumento de tráfico que supone para estas páginas. El hecho de que además la modificación del fichero HOSTS se lleve a cabo sustituyendo el original por otro que es descargado de un sitio web remoto, en lugar de ir incluido en el código del propio gusano, permite que esta misma especie de malware pudiera suplantar a otras webs de uso popular, simplemente cambiando el contenido del fichero a descargar, e incluso poder usar técnicas de phishing contra otros sitios web.
“El creador del gusano ha querido aprovecharse de la relevancia que supone para una empresa el hecho de salir entre los primeros enlaces de uno de los principales buscadores de Internet”, afirma el director de PandaLabs, Luis Corrons.
“El objetivo no es otro que, o bien aumentar las visitas a páginas vinculadas por el creador de malware, o bien obtener dinero procedente de empresas que deseen aparecer en las primeras posiciones en los computadores donde se haya dado la suplantación: en cualquiera de los dos casos, el móvil es puramente económico”, añadió.
La firma puso a disposición de sus usuarios la solución antimalware online Panda ActiveScan, que ahora también detecta spyware en el sitio web
http://www.pandasoftware.es/home/default.asp.