De in Windows ingebouwde virusscanner detecteert sinds gisteren malware die zoekopdrachten van gebruikers kaapt. Het gaat om de Medfos malware-familie waarvan de detectie aan de Microsoft Malicious Software Removal Tool (MSRT) is toegevoegd. De malware verspreidt zich via drive-by downloads of wordt geïnstalleerd door malware die al op de besmette machine staat. Om zoekopdrachten van gebruikers te kapen gebruikt Medfos twee manieren.

De eerste manier is het injecteren van het browser-proces, de tweede methode is via een browser extensie. In het geval van Internet Explorer wordt de 'hijacking module' in het browser-proces geïnstalleerd, waardoor gebruikers niet zien dat er iets mis is. In het geval van Firefox wordt een aanvullende browser add-on geïnstalleerd. De add-on heeft als naam 'Mozilla Safe Browsing 2.0.14' of 'Traqnslate This! 2.0'.

Firefox
Om verwijdering in Firefox te voorkomen kiest Medfos een legitiem lijkende naam die het regelmatig wijzigt. Zodra gebruikers via Google, Bing, Yahoo, AOL of Ask zoeken, wordt de zoekopdracht naar een advertentieserver gestuurd. De vervolgens getoonde zoekresultaten wijzen allemaal naar de advertentieserver of productsites die met de zoekopdracht verband houden.

"Medfos veroorzaakt ongewenst verkeer en omleidingen. Scan alsjeblieft je systeem met onze nieuwe MSRT-versie om ervoor te zorgen dat je systeem schoon is", zegt Shawn Wang van het Microsoft Malware Protection Center.

Volgens statistieken heeft Google een marktaandeel van zo'ns 85%. Bij Firefox-gebruikers, waar Google ook de standaard zoekmachine is, is dat zo'n 94%.