Das Paket nennt sich laut F-Secure FlashPlayer.pkg und enthält einen Trojaner. Dieser verändert die Hosts-Datei des Rechners und leitet gewisse Google-Anfragen auf eine IP-Adresse um, die in den Niederlanden platziert ist. Der Server gaukelt eine täuschend echte Google-Seite vor.
Ein Klick auf einen der Links der falschen Seite öffnet Pop-Up-Fenster und soll wahrscheinlich unerwünschte Werbung einblenden. Der Server ist aber im Moment offenbar nicht erreichbar. Der Trojaner wird als Trojan:BASH/QHost.WB erkannt. (jdo)