Het gaat om meer dan een miljoen internetgebruikers die besmet zijn met malware die de zoekresultaten kaapt en vervolgens de gedupeerden namaak antivirussoftware tracht aan te smeren. De beveiligingsman van Google, Damian Menscher ontdekte de grote besmetting gedurende een routineuze onderhoudsklus in een van de datacenters van de zoekgigant.

Tijdens zo'n klus wordt het datacenter even offline gehaald en wordt het zoekverkeer naar het datacenter tijdelijk gestopt. Maar een van de datacenters bleek, nadat het offline was gehaald, nog steeds duizenden request per seconde te ontvangen.

Meer dan een miljoen pc's

Menscher ontdekte de bron van het verkeer: meer dan een miljoen pc's met Windows bleken besmet te zijn met malware die zoekresultaten kaapt op het moment dat gebruikers zoeken naar bepaalde woorden op Google.com. Het verkeer naar het betreffende datacenter bleek geen zoekverkeer, maar de pc's waren door de malware zo ingesteld dat zij regelmatig een bepaald Google internetadres pingen om te controleren of deze bereikbaar was, zo schrijft Brian Krebs op Krebs on Security.

Niet alleen het verkeer naar google.com wordt door de malware afgevangen, maar ook naar yuahoo.com en bing.com. Dat verkeer wordt omgeleid naar proxy-servers die onder controle staan van de aanvallers. Die proxy's veranderen de zoekresultaten en geven vooral pay-per-click-links naar specifieke websites.

Prominente waarschuwing

Omdat het verkeer dat wordt gegenereerd door de malware unieke kenmerken heeft, kan Google het vrij makkelijk herkennen en de besmette gebruikers waarschuwen.

Google plaats prominent boven de zoekresultaten een waarschuwing, in een geel kader dus vrij opvallend. Het geeft tevens een link naar pagina's met een oplossing voor het probleem. Brian Krebs wijst er wel op dat dergelijke malware goed is in het blokken van anti-viruswebsites om zichzelf te beschermen.