Autorzy złośliwego oprogramowania wykorzystują wyszukiwarkę Google do rozprzestrzeniania wirusów. Od kilku dni G Data obserwuje szeroko zakrojony atak na użytkowników wyszukiwarki Google. Wyszukiwanie konkretnych pojęć, prowadzi do wyników, wskazujących na zmodyfikowane strony internetowe. Po kliknięciu takiego odnośnika w przeglądarce, uruchamia się złośliwy program, który usiłuje podstępnie zainfekować komputer użytkownika. Może objawić się pod postacią kodeka video, lub jako fałszywy program antywirusowy. Wyniki badań G Data Security Labs sugerują, że serwer z którego prowadzone są ataki znajduje się w Indiach. Aktualnie atak wymierzony jest w użytkowników wyszukujących w Internecie treści pornograficzne.
Według G Data, profil fałszowanych wyników wyszukiwania może objąć również tematykę sportową, samochodową, a także związaną z szukaniem pracy. Tomasz Zamarlik z G Data Software: „W ostatnich dniach obserwujemy silny wzrost groźnych wyników wyszukiwania Google. Niemal 10 procent napływających raportów o zagrożeniach wiąże się pośrednio lub bezpośrednio z manipulacją wyników wyszukiwania Google. Wystarczy jedno kliknięcie aby użytkownik został zwabiony w pułapkę. Skutecznie chronione są tylko komputery użytkowników wyposażone w oprogramowanie skanujące strony HTTP.“
Metoda działania pułapki Sprawcy próbują ukryć złośliwy kod stosując zapis w kodzie szesnastkowym. Przeglądarka bez problemu może przetwarzać kod szesnastkowy, ale dla ludzi i wyszukiwarek nie jest on zrozumiały. W ten sposób złośliwe programy mogą obejść filtry zabezpieczające wyszukiwarki Google. Złośliwy kod zaszyfrowany w ten sposób umieszczany jest wewnątrz strony internetowej, do której prowadzi wynik wyszukiwania. Taka technika nazywa się Cross-Site-Scripting. Jeśli użytkownik Google kliknie wynik wyszukiwania, otworzy się wyszukiwana strona, ale będzie wzbogacona o fragment skryptu pochodzący z jednej z indyjskich domen internetowych. Zmanipulowane linki rozpowszechniane są przez autorów złośliwych skryptów na blogach, forach, portalach społecznościowych i stronach z krakami. Dzięki temu strony są indeksowane przez wyszukiwarki i są pojawiają się często w wynikach wyszukiwać. Prowadzi to do absurdalnych sytuacji – przykładem może być mało popularna strona internetowa amerykańskiego uniwersytetu, która nagle zaczęła pojawiać się w wynikach wyszukiwania na pierwszych miejscach.
Zrzut 1: Złośliwy skrypt
Skrypt pobierany z indyjskich stron internetowych jest również w dużym stopniu zaszyfrowany. Sfałszowane strony nie są tworzone statycznie, zależnie od różnych czynników mogą wyglądać inaczej i zawierać różne treści. Podczas testów, eksperci G Data Security Labs najczęściej natykali się na strony oferujące fałszywe kodeki, a także fałszywe programy antywirusowe. Wszystkie stosowane triki sprowadzają się jednak do pobrania i uruchomienia złośliwego pliku.
Przykład zmanipulowanej strony
Profilaktyka:
Użytkownicy oprogramowania G Data nie są narażeni infekcje poprzez manipulację wynikami wyszukiwania. Aby uchronić się przed atakiem, eksperci zalecają:
1. Regularne aktualizowanie systemu operacyjnego i oprogramowania antywirusowego
2. Włączenie skanowania stron internetowych
3. Blokowanie skryptów JavaScript w przeglądarce (np. przy pomocy dodatku NoScript w przeglądarce Firefox)
4. Surfowanie przy użyciu konta użytkownika o ograniczonych uprawnieniach. | 
