El gusano muestra una falsa página del popular buscador en el equipo del usuario afectado, variando los resultados que éste muestra.

PandaLabs ha registrado recientemente la aparición del gusano P2Load.A, un malware con funciones de adware cuya principal funcionalidad estriba en la suplantación del buscador Google, el más usado por los internautas de todo el mundo.

Este gusano, P2Load.A, se propaga por medio de redes P2P (peer to peer), concretamente a través de los programas Shareaza e Imesh. Para ello, se copia en la carpeta compartida de dichos programas como un ejecutable denominado “Knights of the Old Republic 2”, haciendo referencia a un juego de ordenador relacionado con la saga Star Wars. Una vez es ejecutado, muestra un mensaje de error advirtiendo de la no existencia de un determinado fichero, y ofreciendo la descarga del mismo si se acepta. Si esto ocurre, el ordenador ha sido infectado, momento en que ocurren dos modificaciones, principalmente: por un lado, este gusano modifica la página de inicio, mostrando otra con publicidad; por otro lado, suplanta al buscador Google.

Para esto último, el gusano lleva a cabo la modificación del fichero HOSTS del equipo, de modo que cuando el usuario solicite visitar la página de Google, éste sea redireccionado a otra página, exactamente igual que la de Google, pero ajena a la compañía, alojada en un servidor en Alemania. La copia de la página de Google es exacta, e incluye tanto soporte para 17 idiomas de Google, como redirección incluso si el usuario se equivoca tecleando, como “wwwgoogle.com”, “www.gogle.com” o “www.googel.com”, por lo que el usuario no advertirá el cambio.

Cuando el usuario desee llevar a cabo una búsqueda, éstas se mostrarán correctamente o con ligeras variaciones en el orden de los resultados con respecto a cómo los mostraría Google, pero lo que sí varía son los “enlaces patrocinados” que, en un uso normal, aparecen en la parte alta de los resultados, y que corresponden a aquellas compañías que pagan por este servicio. En su lugar, con determinadas búsquedas, aparecen otras, especificadas por el creador del malware, con el aumento de tráfico que supone para estas páginas. El hecho de que además la modificación del fichero HOSTS se lleve a cabo sustituyendo el original por otro que es descargado de un sitio web remoto, en lugar de ir incluido en el código del propio gusano, permite que esta misma especie de malware pudiera suplantar a otras webs de uso popular, simplemente cambiando el contenido del fichero a descargar, e incluso poder usar técnicas de phishing contra otros sitios web.

“El creador del gusano ha querido aprovecharse de la relevancia que supone para una empresa el hecho de salir entre los primeros enlaces de uno de los principales buscadores de Internet”, afirma Luis Corrons, director de PandaLabs. “El objetivo no es otro que, o bien aumentar las visitas a páginas vinculadas por el creador de malware, o bien obtener dinero procedente de empresas que deseen aparecer en las primeras posiciones en los ordenadores donde se haya dado la suplantación: en cualquiera de los dos casos, el móvil es puramente económico”.

Desde el laboratorio PandaLabs ya han avisado tanto al ISP que aloja la página en sus servidores, como a la propia Google, para poder tomar medidas y neutralizar la amenaza.

Fuente;
http://www.pandasoftware.es