Servers de google infectados?

Iniciado por pape, 30 Mayo 2010, 23:27 PM

0 Miembros y 1 Visitante están viendo este tema.

pape

Con determinadas búsquedas en google como por ejemplo "ajedrez almagro" http://www.google.es/#hl=es&source=hp&q=ajedrez+almagro&aq=f&aqi=g10&aql=&oq=&gs_rfai=&fp=53608734155c1704
y pinchando en el primer enlace salen unas series de ventanitas que tratan de infectar con un virus cuyo nombre de archivo es "setup.exe". Lo he analizado con virustotal y solo lo detectan 2 avs con lo cual creo que es nuevo y creo que han infectado lo servers de google porque solo sale el virus si te metes desde google a esa web por ejemplo y además lo he analizado con anubis y aparte de hacer unas cuantas peripecias en el sistema intenta establecer conexión con 74.125.87.99 que es un server de google. Creo que es un troyano. Os dejo los reportes y a ver que opinais. ¿Es posible que los servers de google estén infectados?

http://anubis.iseclab.org/?action=result&task_id=1b157d786adae95a40922e9ddffc86365&format=html

http://www.virustotal.com/es/analisis/66ea2df24970190e7d301af18bfbe4f632affc6eb73872560e6c4da7b7ed65d7-1275253265

Novlucker

En realidad eso que comentas no significa que los servidores de google se hayan infectado, lo que planteas es algo que se hace desde hace mucho tiempo, y es la diferenciación por HTTP-Referer.
Es algo que parte de lo referente al Black SEO, y es que las páginas infectadas diferencian entre si la persona ingresa directamente a la web, o bien viene de un buscador fruto de "resultados inflados", te recomiendo darle un vistazo a Técnicas SEO para gente de moral relajada, esto de lo que hablo se comenta en la parte 5 del tema :P

En lo que respecta a que el "bicho" se conecta a Google, no lo he revisado y solo me he limitado al reporte de Anubis, pero lo único que hace es un GET de la página principal, así que podría estarlo haciendo para ver si realmente tiene conectividad con el exterior, no intenta descargar ningún archivo, y solo hace un POST, presumiblemente a modo estadístico :D

En definitiva, que no hay un servidor de Google infectado, y de haberlo no es este el caso :P

Saludos

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

dArKo2

 ;D no temas google no esta zombificado  :laugh: lo que si lo debe de estar es la pagina que te pone la descarga....

@Novlucker: estuve trasteando con el ejecutable que se descarga pero esta cifrado :rolleyes: es dificil leer el los jumps y todo lo otro..

Edit: nisiquiera con el reshacker se logra nada...
"We seek only reprieve and welcome the darkness"

Novlucker

sl0th, del reporte de Anubis :rolleyes:
CitarUPX V2.9-3.X SN: 1730

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

dArKo2

#4
Cita de: Novlucker en 31 Mayo 2010, 06:10 AM
sl0th, del reporte de Anubis :rolleyes:
CitarUPX V2.9-3.X SN: 1730

Saludos


lo que pasa es que queria aprender como hacerlo yo mismo de forma manual asi que me baje ciertos programas como el UnPack y el process dump que supuestamente harian las cosas mas entretenidas  :P pero nada de nada y ademas el antivirus los detecta como troyanos  :xD


lo mas probable es que este zombificado el server------------> Apache/2.2.3 (CentOS) Server at wwww.peoriavascularsurgery.com Port 80
"We seek only reprieve and welcome the darkness"