Het gaat om de worm P2Load.A, dat via p2p-netwerken kan worden gedownload. Het bestand zou een gratis versie van het spel Knights of the Old Republic II moeten zijn, aldus Forrest Clark van Panda Software.

Wie het bestand binnenhaalt en opent, installeert in werkelijkheid een worm. Het programma opent een browser met een namaakpagina van Google. De gespoofde Google-site is een werkende kopie van de echte zoekmachine. Ook geeft het bijna dezelfde resultaten. Alleen verschillen de gesponsorde zoekresultaten. "Wat er gebeurt, is dat alle AdWords van Google vervangen door nep-advertenties en soms veranderen ze ook de zoekresultaten", weet Clark.

Daarnaast wordt er op geïnfecteerde pc's iets aangepast waardoor gebruikers, zelfs bij het verkeerd spellen van www.google.com, naar de nepsite worden doorgestuurd. Tot slot wordt ook de startpagina van de browser aangepast, ongeacht of dat Internet Explorer of Firefox is.

Volgens Panda Software is de worm halverwege vorige week voor het eerst in de Verenigde Staten en Chili aangetroffen. P2Load.A is volgens Clark duidelijk ontworpen om geld te verdienen door zoveel mogelijk internetters naar nepsites te leiden met gesponsorde links. De nepsite van Google wordt gehost in Duitsland. Wie de worm gemaakt en verspreid heeft, is nog niet bekend.