elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Servers de google infectados?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Servers de google infectados?  (Leído 4,723 veces)
pape

Desconectado Desconectado

Mensajes: 12


Ver Perfil
Servers de google infectados?
« en: 30 Mayo 2010, 23:27 pm »
Con determinadas búsquedas en google como por ejemplo "ajedrez almagro" http://www.google.es/#hl=es&source=hp&q=ajedrez+almagro&aq=f&aqi=g10&aql=&oq=&gs_rfai=&fp=53608734155c1704
y pinchando en el primer enlace salen unas series de ventanitas que tratan de infectar con un virus cuyo nombre de archivo es "setup.exe". Lo he analizado con virustotal y solo lo detectan 2 avs con lo cual creo que es nuevo y creo que han infectado lo servers de google porque solo sale el virus si te metes desde google a esa web por ejemplo y además lo he analizado con anubis y aparte de hacer unas cuantas peripecias en el sistema intenta establecer conexión con 74.125.87.99 que es un server de google. Creo que es un troyano. Os dejo los reportes y a ver que opinais. ¿Es posible que los servers de google estén infectados?

http://anubis.iseclab.org/?action=result&task_id=1b157d786adae95a40922e9ddffc86365&format=html

http://www.virustotal.com/es/analisis/66ea2df24970190e7d301af18bfbe4f632affc6eb73872560e6c4da7b7ed65d7-1275253265
En línea
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Servers de google infectados?
« Respuesta #1 en: 31 Mayo 2010, 00:31 am »
En realidad eso que comentas no significa que los servidores de google se hayan infectado, lo que planteas es algo que se hace desde hace mucho tiempo, y es la diferenciación por HTTP-Referer.
Es algo que parte de lo referente al Black SEO, y es que las páginas infectadas diferencian entre si la persona ingresa directamente a la web, o bien viene de un buscador fruto de "resultados inflados", te recomiendo darle un vistazo a Técnicas SEO para gente de moral relajada, esto de lo que hablo se comenta en la parte 5 del tema :P

En lo que respecta a que el "bicho" se conecta a Google, no lo he revisado y solo me he limitado al reporte de Anubis, pero lo único que hace es un GET de la página principal, así que podría estarlo haciendo para ver si realmente tiene conectividad con el exterior, no intenta descargar ningún archivo, y solo hace un POST, presumiblemente a modo estadístico :D

En definitiva, que no hay un servidor de Google infectado, y de haberlo no es este el caso :P

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
dArKo2

Desconectado Desconectado

Mensajes: 59



Ver Perfil
Re: Servers de google infectados?
« Respuesta #2 en: 31 Mayo 2010, 05:50 am »
 ;D no temas google no esta zombificado  :laugh: lo que si lo debe de estar es la pagina que te pone la descarga....

@Novlucker: estuve trasteando con el ejecutable que se descarga pero esta cifrado :rolleyes: es dificil leer el los jumps y todo lo otro..

Edit: nisiquiera con el reshacker se logra nada...
En línea
"We seek only reprieve and welcome the darkness"
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Servers de google infectados?
« Respuesta #3 en: 31 Mayo 2010, 06:10 am »
sl0th, del reporte de Anubis :rolleyes:
Citar
UPX V2.9-3.X SN: 1730

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
dArKo2

Desconectado Desconectado

Mensajes: 59



Ver Perfil
Re: Servers de google infectados?
« Respuesta #4 en: 1 Junio 2010, 03:22 am »
Cita de: Novlucker en 31 Mayo 2010, 06:10 am
sl0th, del reporte de Anubis :rolleyes:
Citar
UPX V2.9-3.X SN: 1730

Saludos


lo que pasa es que queria aprender como hacerlo yo mismo de forma manual asi que me baje ciertos programas como el UnPack y el process dump que supuestamente harian las cosas mas entretenidas  :P pero nada de nada y ademas el antivirus los detecta como troyanos  :xD


lo mas probable es que este zombificado el server------------> Apache/2.2.3 (CentOS) Server at wwww.peoriavascularsurgery.com Port 80
« Última modificación: 3 Junio 2010, 08:47 am por sl0th » En línea
"We seek only reprieve and welcome the darkness"
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ficheros infectados con BitCrypt v2.0
Seguridad 		JammDesigner 1 3,775 Último mensaje 25 Marzo 2014, 00:18 am
por magnum_44
LAN servers are restricted to local clients (class c)
Juegos y Consolas 		M401 2 11,248 Último mensaje 18 Diciembre 2021, 19:38 pm
por Randomize
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines