Zoekopdrachten op sleutelwoorden als 'Security Essentials review', 'Morro beta test', 'Morro test comparison Microsoft' en vele varianten leveren resultaten op Google die doorspekt zijn met malafide sites. Die zijn in eerste instantie al wel te herkennen aan de hoofdletters voor de paginanaam.

In veel gevallen zijn het reguliere sites of blogs die php gebruiken en zijn geïnjecteerd met malware. Dit zijn bewezen methodes voor malwaremakers die inspringen op nieuwsontwikkelingen waar veel aandacht voor valt te verwachten, zoals laatst ook het overlijden van popster Michael Jackson.

Nep-antimalware

Die kwaadaardige software doet zich dan juist voor als een securitypakket. Bezoeken van de site levert meteen een waarschuwingsvenster op voor een zogenaamd gedetecteerde besmetting. Vervolgens wordt een zogenaamde scan uitgevoerd, die er qua uiterlijk uitziet als een Windows-component. De malware staat gehost op verschillende domeinen in China (.cn).

Het gaat om een JavaScript-bestand, dat door Trend Micro wordt onderschept en geïdentificeerd als JS_DLOADR.AQZ. Die malware nestelt zich in het locale cachegeheugen van de browser.

Als het goed is zal het echte antimalware programma op de pc de payload isoleren in quarantaine. Wellicht is het nodig de cache van de browser te legen om de malware te kunnen ruimen. Daarnaast bieden sommige van de geïnfecteerde sites een applicatie (exe-bestand) aan als automatische download.

Update: securitybedrijf Websense meldt vergelijkbare bevindingen van cybercriminelen die sites infecteren en hoog in de zoekresultaten trachten te komen. De payload die Websense tegenkwam werd slechts door 6 van de 42 echte antivirusprogramma's herkend.