Google adsense logo L'éditeur roumain de solutions de sécurité a mis la main sur un cheval de Troie bien indélicat ayant recours aux liens sponsorisés de Google. Identifié sous le nom de Trojan.Qhost.WU par BitDefender, ce troyen pirate lesdits liens pour les remplacer par d'autres provenant de divers fournisseurs.

Trojan.Qhost.WU modifie le fichier hosts des machines Windows infectées. Stocké sur le disque dur, ce fichier gère les noms de domaine et le mappage des adresses IP. Il est consulté avant les serveurs de nom de domaine, étant prioritaire sur ces derniers. Ainsi, le lien page2.googlesyndication.com qui pointe normalement vers une adresse IP de la forme 6x.xxx.xxx.xxx, pointe dès lors vers une adresse IP de la forme 9x.xxx.xxx.xxx. Les navigateurs des machines infectées lisent donc des liens publicitaires sur un serveur de remplacement et non plus à partir de Google.

Pour l'un des analystes de BitDefender, ce détournement est tout aussi préjudiciable pour les utilisateurs que pour les webmasters : " Les utilisateurs sont concernés parce que les publicités ou les liens affichés peuvent contenir du code malicieux, ce qui est très probable compte tenu du fait que ces publicités ont été publiées via un malware. Pour les webmasters, c'est évidemment un problème potentiel puisque les visiteurs sont redirigés ailleurs tout comme les revenus générés. "