Un ver détourne les utilisateurs de Google

Cloud

P2Load.A redirige les internautes vers une copie du moteur de recherche contenant des liens sponsorisés modifiés.

Le spécialiste de la sécurité Panda Labs a détecté un ver, baptisé P2Load.A, qui tente d’usurper l’identité de Google et se répand via les applications d’échanges de fichiers Shareaza et iMesh. Ce ver se réplique dans le dossier partagé de ces logiciels sous la forme d’un fichier exécutable nommé « Knights of the Old Republic 2 », en référence à un jeu vidéo issu de la saga Star Wars.

Lorsque P2Load.A est exécuté, il affiche un message d’erreur qui indique à l’utilisateur qu’il lui manque un fichier et lui propose de le télécharger. Ce téléchargement provoque alors le remplacement de la page d’accueil du navigateur par une copie du moteur de recherche Google. Pour parvenir à ce résultat, le ver modifie le fichier HOSTS du système de sorte que les utilisateurs souhaitant accéder au moteur soient redirigés vers une page, hébergée sur un serveur en Allemagne, qui est la copie exacte de Google. Cette redirection est effective même si des erreurs de frappe sont commises en tapant l’adresse ? comme « wwwgoogle.com », « www.goggle.com » ou « www.googel.com ».

Lorsque l’utilisateur lance une recherche sur ce site, les résultats s’affichent comme si la requête avait été faite sur le vrai Google. Mais les liens sponsorisés, qui apparaissent généralement au-dessus des résultats et renvoient vers des sites de sociétés ayant payé pour ce service, sont différents. Sur certaines recherches sont présentés d’autres liens, ajoutés par le créateur de P2Load.A, qui permettent d’augmenter le trafic des sites concernés.

Des motivations purement financières

« L’auteur de ce ver tire profit de l’importance pour les sociétés de figurer dans les premiers liens présentés dans les résultats d’une requête », explique Luis Corrons, directeur de Panda Labs. « Ses objectifs sont d’augmenter les visites sur les sites en question, ou bien de tirer des revenus des sociétés qui veulent apparaître dans les premiers résultats sur les ordinateurs corrompus. Dans les deux cas, les motivations du créateur de ce logiciel malveillant sont purement financières. »