|
Título: Servers de google infectados? Publicado por: pape en 30 Mayo 2010, 23:27 pm Con determinadas búsquedas en google como por ejemplo "ajedrez almagro" http://www.google.es/#hl=es&source=hp&q=ajedrez+almagro&aq=f&aqi=g10&aql=&oq=&gs_rfai=&fp=53608734155c1704
y pinchando en el primer enlace salen unas series de ventanitas que tratan de infectar con un virus cuyo nombre de archivo es "setup.exe". Lo he analizado con virustotal y solo lo detectan 2 avs con lo cual creo que es nuevo y creo que han infectado lo servers de google porque solo sale el virus si te metes desde google a esa web por ejemplo y además lo he analizado con anubis y aparte de hacer unas cuantas peripecias en el sistema intenta establecer conexión con 74.125.87.99 que es un server de google. Creo que es un troyano. Os dejo los reportes y a ver que opinais. ¿Es posible que los servers de google estén infectados? http://anubis.iseclab.org/?action=result&task_id=1b157d786adae95a40922e9ddffc86365&format=html http://www.virustotal.com/es/analisis/66ea2df24970190e7d301af18bfbe4f632affc6eb73872560e6c4da7b7ed65d7-1275253265 Título: Re: Servers de google infectados? Publicado por: Novlucker en 31 Mayo 2010, 00:31 am En realidad eso que comentas no significa que los servidores de google se hayan infectado, lo que planteas es algo que se hace desde hace mucho tiempo, y es la diferenciación por HTTP-Referer.
Es algo que parte de lo referente al Black SEO, y es que las páginas infectadas diferencian entre si la persona ingresa directamente a la web, o bien viene de un buscador fruto de "resultados inflados", te recomiendo darle un vistazo a Técnicas SEO para gente de moral relajada (http://elladodelmal.blogspot.com/2009/10/seo-para-gente-de-moral-relajada-i-de.html), esto de lo que hablo se comenta en la parte 5 del tema :P En lo que respecta a que el "bicho" se conecta a Google, no lo he revisado y solo me he limitado al reporte de Anubis, pero lo único que hace es un GET de la página principal, así que podría estarlo haciendo para ver si realmente tiene conectividad con el exterior, no intenta descargar ningún archivo, y solo hace un POST, presumiblemente a modo estadístico :D En definitiva, que no hay un servidor de Google infectado, y de haberlo no es este el caso :P Saludos Título: Re: Servers de google infectados? Publicado por: dArKo2 en 31 Mayo 2010, 05:50 am ;D no temas google no esta zombificado :laugh: lo que si lo debe de estar es la pagina que te pone la descarga....
@Novlucker: estuve trasteando con el ejecutable que se descarga pero esta cifrado :rolleyes: es dificil leer el los jumps y todo lo otro.. Edit: nisiquiera con el reshacker se logra nada... Título: Re: Servers de google infectados? Publicado por: Novlucker en 31 Mayo 2010, 06:10 am sl0th, del reporte de Anubis :rolleyes:
Citar UPX V2.9-3.X SN: 1730 Saludos Título: Re: Servers de google infectados? Publicado por: dArKo2 en 1 Junio 2010, 03:22 am sl0th, del reporte de Anubis :rolleyes: Citar UPX V2.9-3.X SN: 1730 Saludos lo que pasa es que queria aprender como hacerlo yo mismo de forma manual asi que me baje ciertos programas como el UnPack y el process dump que supuestamente harian las cosas mas entretenidas :P pero nada de nada y ademas el antivirus los detecta como troyanos :xD lo mas probable es que este zombificado el server------------> Apache/2.2.3 (CentOS) Server at wwww.peoriavascularsurgery.com Port 80 |