Гугл претраживач је открио појаву лажних рекламних уноса који се приказују на првим местима резултата претраге и имају за циљ ширење малвера, кријући се иза промоције бесплатног графичког уређивача ГИМП. Рекламна веза је осмишљена тако да корисници не сумњају да ће прелазак бити извршен на званичну веб страницу пројекта ввв.гимп.орг, а заправо је прослеђен на домене гилимп.орг или гимп.монстер контролишу нападачи.
Садржај отворених сајтова понавља оригинални сајт гимп.орг, али када покушате да га преузмете, бићете преусмерени на услуге Дропбок и Трансфер.сх преко којих се шаље датотека Сетуп.еке са злонамерним кодом. Неподударност између адресе препоруке и УРЛ адресе приказане у Гугл резултатима објашњава се посебностима подешавања огласа у Гоогле АдСенсе мрежи, у којој је могуће поставити засебне УРЛ адресе за приказ и прелаз (подразумева се да се међупрослеђивање може користи се за транзицију за процену ефикасности оглашавања). Према Гугловој политици, огласна јединица и завршна страница морају да користе исти домен, али изгледа да се поштовање правила не проверава унапред и да је регулисано на нивоу одговора на жалбе.
Извор: опеннет.ру