در اين مورد، آلودگي پس از باز كردن يك صفحه مشخص در اينترنت آغاز مي شود. كاربران معمولا از طريق لينكهايي كه در سايتهاي پورنوگرافيك يا سايتهاي ارائه نرمافزارهاي دزدي ميبينند به صفحه مورد نظر راه پيدا ميكنند. پس از باز شدن اين صفحه علاوه بر PremiumSearch، بدافزارهاي ديگري مانند WorldAntiSpy و نسخهاي از Smitfraud نيز روي كامپيوتر قرباني نصب ميشود تا كاربر قانع شود كه سيستمش آلوده شده و براي رفع آلودگي بايد دست به جيب شود.
PremiumSearch از چند حفرههاي امنيتي كه معمولا مورد استفاده spyware ها قرار ميگيرد، براي نصب يك BHO (Browser Helper Object) آلوده روي كامپيوتر مورد نظر استفاده ميكند. اين BHO يك نوار ابزار گوگل (Google toolbar) روي كامپيوتر نصب ميكند كه جعلي است و به جز شباهت ظاهري ربطي به گوگل ندارد. همچنين فايل HOSTS را دستكاري ميكند و homepage كاربر را به سايت جستوجوي PremiumSearch تغيير ميدهد.
دستكاري در فايل HOSTS و كارهاي ديگري كه كد آلوده انجام ميدهد باعث ميشود هنگامي كه كاربر ميخواهد سايتهاي MSN، ياهو يا گوگل را باز كند به سايتهاي جعلي ديگري ارجاع داده شود كه از لحاظ ظاهري هيچ تفاوتي با سايت اصلي ندارند اما نتيجه جستوجو متفاوت است. اين تفاوت بيشتر در چند سايت اولي كه در صفحه نتيجه جستوجو ظاهر ميشود، اعمال ميشود. هنگام جستوجو در نوار ابزار گوگل نيز همين اتفاق مي افتد و كاربر با نتايج تقلبي روبرو ميشود.
لوئيس كورونس مدير آزمايشگاههاي شركت پاندا در اين باره ميگويد: اين اقدامات با هدف كسب درآمد و با سوءاستفاده از شهرت سايتهاي معروف انجام ميشود. به كاربران توصيه ميكنيم با نصب و به روز نگاه داشتن يك نرمافزار آنتيويروس مناسب از آلودگي به اين بدفزارها پيشگيري كنند.
شركت پاندا براي خنثي كردن اين حملات با ISP سرويس دهنده به اين صفحات تماس گرفته و خواستار قطع سرويس به آنها شده است.
