Era già apparso lo scorso luglio tra gli utenti Facebook, indirizzandoli verso pagine contenenti allettanti video che però non potevano essere visualizzati senza prima aver scaricato un falso codec (in realtà un vero e proprio trojan). Si trattava del worm Koobface, ora, secondo quanto rilevato da Fortinet, reincarnato in una nuova versione in grado di indirizzare le vittime verso pagine apparentemente facenti parte di Google Reader al cui interno è presente il tradizionale video tentatore. Mentre il motore di ricerca è al lavoro per risolvere il problema, i cybercriminali hanno iniziato ad attirare le vittime anche verso false pagine di Google Picasa.

Poiché Google Reader permette di condividere la notizie più interessanti con la comunità online, alcuni cybercriminali hanno registrato nuovi account Google Reader (manualmente, attraverso tecniche di phishing o violando i CHAPTCHA), allo scopo di diffondere link in grado di indirizzare le vittime verso siti malevoli, complice un frame particolarmente attraente presente all'interno del messaggio. In realtà, come è accaduto con Facebook, il filmato risulta impossibile da visualizzare a causa della mancanza del codec appropriato; l'invito a scaricare il codice necessario alla visualizzazione in realtà installa nel computer il trojan W32/Zlob.NKX!tr.dldr.

La scelta di utilizzare Google Reader come specchietto per le allodole nasce dal desiderio di trasmettere alla vittima la sensazione di accedere ad un sito sicuro, in quanto ospitato da un portale del calibro di Google. L'effetto sicurezza, combinato con l'idea che si tratti di un "messaggio amico", offre una combinazione vincente per una massiccia diffusione del trojan. Fortinet avrebbe già notificato il problema al motore di ricerca, il quale sarebbe al lavoro sulla soluzione: «stiamo analizzando i resoconti che abbiamo ricevuto» ha dichiarato un portavoce di Google, «e siamo impegnati nel chiudere ogni account che ha violato le nostre linee guida».