Worm stuurt Google-bezoeker door naar valse website

Gebruikers van p2p-software die het spel Knights of the Old Republic II downloaden, zijn mogelijk niet een kopie van het door hen gewenste stuk software aan het binnenhalen, maar een worm met de naam P2Load.A. Deze worm is afgelopen woensdag opgedoken en heeft zich sindsdien verspreid binnen met name Canada en de Verenigde Staten van Amerika. Wanneer het digitale stuk ongedierte geactiveerd wordt, wordt het hostsbestand aangepast zodat alle pogingen om google.com te bereiken, omgeleid worden naar een Duitse site. Deze pagina lijkt sterk op Googles pagina's en geeft dezelfde zoekresultaten weer. Googles aangeboden gesponsorde koppelingen zijn echter vervangen door andere advertenties.

Een andere feature van de worm is dat deze de startpagina in zowel Internet Explorer als in Firefox aanpast. De bijgewerkte versie van het hostsbestand wordt door P2Load.A gedownload vanaf internet, waardoor de mogelijkheid bestaat dat ook andere sites omgeleid zullen worden naar een vergelijkbare site en de schade dus verder kan toenemen. Volgens Luis Corrons, directeur bij PandaSoftware, is het motief van de persoon of personen achter de gespoofte versie van Google puur financieel. De makers van de Duitse site kunnen de 'nieuwe' advertentieruimte namelijk verkopen aan klanten. Daarnaast kunnen ze er zelf advertenties neerzetten om internetters naar sites te lokken en geld te verdienen via banners.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 17-09-2005 18:45 50

17-09-2005 • 18:45

50

Bron: InformationWeek

Lees meer

Advies: scan Windows-pc voor 3 februari vanwege worm
Advies: scan Windows-pc voor 3 februari vanwege worm Nieuws van 30 januari 2006
Google gaat Sun helpen met promotie Java
Google gaat Sun helpen met promotie Java Nieuws van 4 oktober 2005
McAfee gaat op isp-niveau scannen
McAfee gaat op isp-niveau scannen Nieuws van 6 september 2005
Geld was motief achter Zotob-virus
Geld was motief achter Zotob-virus Nieuws van 6 september 2005
Creative levert mp3-spelers met Windows-virus
Creative levert mp3-spelers met Windows-virus Nieuws van 1 september 2005
MMS-virus wurmt zakenwereld binnen
MMS-virus wurmt zakenwereld binnen Nieuws van 1 september 2005
Worm richt zich op spelers MMORPG
Worm richt zich op spelers MMORPG Nieuws van 28 augustus 2005
Vermoedelijke makers Zotob-worm gearresteerd
Vermoedelijke makers Zotob-worm gearresteerd Nieuws van 27 augustus 2005
Ook Windows XP gevoelig voor Zotob
Ook Windows XP gevoelig voor Zotob Nieuws van 25 augustus 2005
Virusschrijvers richten zich meer op zakelijke LAN's
Virusschrijvers richten zich meer op zakelijke LAN's Nieuws van 22 augustus 2005
Zotob-worm werkt zichzelf tegen
Zotob-worm werkt zichzelf tegen Nieuws van 19 augustus 2005
Strijd tussen virusschrijvers veroorzaakt golf van wormen
Strijd tussen virusschrijvers veroorzaakt golf van wormen Nieuws van 17 augustus 2005
Meer producten en artikelen
Bedrijfsnieuws

Reacties (50)

-Moderatie-faq
50
43
22
10
0
8
Wijzig sortering

Sorteer op:

Weergave:
Spacecowboy 17 september 2005 22:55
Wat ik wel grappig (nou ja, grappig) vind is dat deze worm nu ook Firefox meepakt...
de startpagina in zowel Internet Explorer als in Firefox aanpast.
Zoals te verwachten zal firefox nu toch ook steeds meer het doelwit worden van dit soort onzin. Ik ben benieuwd hoe hierop gereageerd gaat worden...
Verwijderd @Spacecowboy17 september 2005 23:46
Als je de hosts fille aanpast, dan doe je dit op het niveau van het besturingssysteem. Het werkt dus ook met Netscape, Opera en weet ik niet wat nog meer.
BertS @Verwijderd17 september 2005 23:59
Staat bij jou de startpagina dan in je hostsfile? ;)
Whollabilla @BertS18 september 2005 02:55
Maar de startpagina is veranderen (naar neppesite.com gaan ipv naar goedesite.com), is heel wat anders dan de hosts-file aanpassen, waardoor je wel naar goedesite.com gaat, maar naar de IP van neppesite.com wordt "doorgestuurd".

De eerste moet je per browser instellen, de tweede over het hele systeem...
Nick_S @Spacecowboy18 september 2005 00:51
Is het dan zo moeilijk om je software zo te schrijven, dat alleen door gebruikers interactie je startpagina kan veranderen?

Bij mij is het in ieder geval niet gewenst dat software aan mijn persoonlijke instellingen komt, zonder dat ik daar om gevraagd heb.
Verwijderd @Nick_S18 september 2005 01:13
Alles wat je aan instellingen verandert, wordt ergens opgeslagen. En dat kan dus (in 99% van alle gevallen) vrij makkelijk worden aangepast.

Maar antwoord op je vraag: Ja, dat is erg moeilijk. Software kijkt naar de data zoals die in z'n mandje ligt. Het kijkt niet naar de manier waarop de data er gekomen is. Om dat te weten, moet je zoiets opslaan (zie je de recursie al?)
BartOtten @Spacecowboy19 september 2005 10:05
Tja, dat is niet zo raar...Als je een virus al op je systeem hebt dan kan die bij al je bestanden komen (in Windows). Dus ook bij je setting-files...Heeft niets met lekken in IE of Firefox te maken. (maybe was je punt puur intresse, dan heb je gelijk)
serhat 17 september 2005 20:04
Wat meer info erover..
Staat bij hoe je makkelijk kunt detecteren dat je geïnfecteerd bent en welke bestanden hij aanmakt en ook nog wat hij voor leuks in je register doet.. door dit te weten zou je hem ook makkelijk kunnen verwijderen.
PS: Vergeet niet je hostfile weer terug te zetten.. een standaard hostfile bevat alleen het volgende
127.0.0.1 localhost
iambig 17 september 2005 18:55
Het lijkt me dat deze mensen makkelijk te vinden zijn...
Je bent behoorlijk stom als je deze activiteiten onderneemt.
En al helemaal als je dit vanuit bv. Duitsland doet.
Op een ver weg klein eilandje zou je er mischien mee weg kunnen komen. |:(
Mathijs @iambig17 september 2005 19:58
Leuke is dat als dit www.googie.de betreft, deze site vanuit Amsterdam gehost wordt.
Dit is met de verschillende ****nova.com's ook het geval.
Wij schijnen hier dus zelf een ver weg klein eilandje te zijn voor dit soort bedrijven.
praseodymium @Mathijs17 september 2005 20:10
Die site gebruikt Google AdSense for Search. Ik kan me voorstellen dat ze dan nooit hun geld zullen krijgen :9 maar op zich is die site niet illegaal.
dwizzy @praseodymium18 september 2005 17:16
niet illegaal, als je een computer dingen laat doen waarvan de gebruiker zich niet bewust is (computervredebreuk) en je website zich voordoet als een ander? (misleiding, inbreuk merkenrecht)?
SWINX @Mathijs17 september 2005 23:19
Best smerig ja.... een hoofdlettertje i gebruiken...
googIe vs google ... zoek de verschillen :)
burne @Mathijs18 september 2005 12:53
googie.de staat ergens in New York.
TheBorg @iambig17 september 2005 19:30
Daar heb je Bullet-Proof hosting voor. Word vaak aangeboden in landen als China, Korea en omstreken. Voor een grof bedrag per maand garanderen ze dat je bak online blijft, wat je er ook mee doet. :)

Vaak word er ook gewerkt met 'disposable' domeinen die via een omweg anoniem worden geregistreerd.
Madcat 17 september 2005 18:51
Op zich nog wel knap dat ze het dataverkeer allemaal aankunnen.
Ik zou er niet aan moeten denken als er opeens duizende requests per seconden op mijn server zouden komen!

edit:
Okey laten we het dan op 10 per seconden houden :)
Rhapsody @Madcat17 september 2005 18:55
Niet iedereen is besmet met die worm hoor ;) alleen die personen die dat spel gedownload hebben dus denk dat het aantal requests per seconde wel meevalt.
InjecTioN @Rhapsody18 september 2005 00:27
haha.. zou toch eens wat moeten zijn... als iedereen met die worm besmet zou zijn... :P en dat dan naar mijn servertje.. een Pentium3 500MHz... :P hij zou helemaal ziek worden, en vervolgens crashen.. :+
Sir Guinhill 18 september 2005 00:36
Nee, B.I.G. heeft gelijk downloaden is slecht voor je. ;(
Verwijderd @Sir Guinhill18 september 2005 01:17
:) B.I.G. zou hier z'n maatschappelijke functie kunnen vervullen door z'n forum te heropenen. (Toen dit nog openstond, stonden er in no-time allerlei links op om illegale software te downloaden! Van een site downloaden met ondersteuning van een forum is veiliger dan p2p)
Spacecowboy @Sir Guinhill18 september 2005 14:55
Downloaden is niet slecht voor je, in sommige gevallen is het illegaal. En bij illegale activiteiten neem je nu eenmaal meer risico (voor lief)...
Theo @min617 september 2005 20:18
P2P dowloads zijn over het algemeen niet helemaal legaal, dus dan is zo'n wormpie je eigen schuld, moet je maar niet illegaal downen. :+
Verwijderd @min617 september 2005 22:13
worms downloaden is helemaal niet illigaal ;)

maar deze worm heeft ook nut, dat mensen gaan inzien dat spellen downloaden ook nadelen met zich meebrengt.
dit is langerna niet het enige spel dat infected is.
Verwijderd @Verwijderd17 september 2005 23:13
[advocaat van de duivel mode]
juridisch gezien is het downloaden van een worm wel degelijk illegaal... feitelijk gezien is een worm niets anders dan een stukje software en daarmee dus beschermd door de auteurswet ;)
[/advocaat van de duivel mode]

tenzij de auteur zijn toestemming heeft gegeven natuurlijk :+
Database freak 18 september 2005 06:40
MS Antispy ware geeft dacht ik als het op de achtergrond draaid aan als de hostfile veranderd wordt.
Verwijderd 17 september 2005 19:17
Als ze het een beetje slim hebben aangepakt zullen ze er wel voor hebben gezorgd dat zij "niks met het virus te maken hebben". Maar het idee is wel slim

//edit volgens mij is dit ook vrij makkelijk te verhelpen als ik het goed heb

Volgens mij past het programma dit bestand aan:

Start > uitvoeren:
notepad c:\windows\system32\drivers\etc\hosts
EJP @Verwijderd17 september 2005 19:32
Ik denk dat het virus de hostfile niet 1 keer aanpast en het daarbij laat. Elke keer als jij de hostfile aanpast past hij hem direct weer aan. Je zult dus echt het virus moeten verwijderen.
Verwijderd @EJP17 september 2005 20:46
gewoon read only maken
Room42 @Verwijderd18 september 2005 03:43
Nou, het virus zou wel oer dom zijn om dat attribuut niet uit te kunnen zetten...

Wellicht helpt het om de write rechten op het bestand te deny-en. Dan moet je wel het schone bestand hebben, natuurlijk :)
Verwijderd 17 september 2005 20:34
illigaal downloaden mag niet,,

o ja heeft iemand nog goede torrents..ow w8 ff even me limewire en kazaa en imesh uitzette...lol
peterveldman @Verwijderd18 september 2005 18:25
Tuurlijk mag illegaal downloaden niet, anders was het niet illegaal. maar het gaat er om wat illegaal downloaden is.
en software downloaden is idd illegaal, muziek en video niet.
SuperDre 18 september 2005 06:44
Tja, moet je maar geen illegale software downloaden..
Verwijderd @SuperDre18 september 2005 07:58
hallo meneer moraal (8>

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq