PremiumSearch installiert die Anwendung Application/WorldAntiSpy auf dem Computer des Opfers und verschiedene Versionen von Smitfraud. Der User soll glauben, dass er durch eine ganze Serie von Bedrohungen infiziert wurde und dass er nun dafür bezahlen muss diese wieder loszuwerden.

PremiumSearch nutzt einige Sicherheitslücken, die sonst von Spyware wie ByteVerify, LoadImage, und Mhtredir genutzt werden um ein schädliches BHO (Browser Helper Object) auf dem Computer zu installieren. Danach installiert er die vermeintliche Google Toolbar (die natürlich nicht von Google selbst stammt) und verändert die Host Datei. Die BHO verändert die Startseite zur PremiumSearch Suchmaschine.

Die Veränderung an der Host Datei und die Aktionen der BHO leiten User, die eigentlich Anfragen an MSN, Yahoo! und Google gesendet haben, auf eine gefälschte Version um. Die gefälschten Seiten sind von den Originalen bis auf die ersten paar Suchergebnisse nicht zu unterscheiden. Die folgenden Suchergebnisse sind die Selben wie bei den Originalseiten, lediglich die ersten Suchergebnisse wurden durch eigene ersetzt.

Die gefälschten Seiten wurden auf einem Server in den USA gehosted.

Wie schon bei P2Load.A  soll hier zusätzlicher Traffic auf den Seiten der ersten Suchergebnisse erzeugt werden.
Mehr zu P2Load.A finden Sie hier.

Weitere Informationen zu PremiumSearch können unter folgendem Link abgerufen werden:
http://www.pandasoftware.com/virus_info/

Quelle: Pressemitteilung Panda Software Deutschland