Google leitarvélin leiddi í ljós útlit sviksamlegra auglýsingafærslna sem eru sýndar á fyrstu stöðum leitarniðurstaðna og miða að því að dreifa spilliforritum og fela sig á bak við kynningu á ókeypis grafíska ritstjóranum GIMP. Auglýsingahlekkurinn er hannaður á þann hátt að notendur efast ekki um að skipt verði yfir á opinbera vefsíðu verkefnisins www.gimp.org, en í raun er hann áframsendur á gilimp.org eða gimp.monster lénin stjórnað af árásarmönnum.
Innihald opnaðra vefsvæða endurtekur upprunalega gimp.org síðuna, en þegar þú reynir að hlaða henni niður er þér vísað á Dropbox og Transfer.sh þjónusturnar, þar sem Setup.exe skráin með skaðlegum kóða er send í gegnum. Misræmið á milli tilvísunar heimilisfangsins og vefslóðarinnar sem sýnd er í Google niðurstöðum skýrist af sérkennum þess að setja upp auglýsingar á Google AdSense netinu, þar sem hægt er að stilla aðskildar vefslóðir fyrir birtingu og umskipti (skilið er að milliframsending getur verið notað fyrir umskiptin til að meta skilvirkni auglýsinga). Samkvæmt stefnu Google verða auglýsingaeiningin og lokasíðan að nota sama lén, en svo virðist sem að farið sé að reglum sé ekki fyrirfram kannað og stjórnað á því stigi sem svarað er við kvörtunum.
Heimild: opennet.ru