¿Por qué el malware revisa periódicamente google.com?

Lo más probable es que solo esté intentando comprobar si hay una conexión a Internet que funcione.

Los autores de malware asumen que:

• Google (u otros sitios de Alexa Top-1M) subirá 99.999% del tiempo.
• El tráfico que se dirige a sitios de productividad comunes como Google no se marcará como inusual.
• Es poco probable que usted (o el administrador de su red) haya bloqueado estos sitios en la puerta de enlace.

Como tal, Google es un buen candidato.

La prueba de conexión simple es una de las razones por las que el malware puede conectarse a Google, Yahoo y otros motores de búsqueda, pero me gustaría presentar una explicación diferente.

Una aplicación frecuente para botnets es el motor de búsqueda spam optimization .

Como puede observar, la página de resultados de Google (y la mayoría de los otros motores de búsqueda) no conduce directamente a los resultados, sino a los enlaces de redireccionamiento. Esto les permite verificar qué resultados visitan realmente sus visitantes. Los motores de búsqueda utilizan esta información como parte de sus algoritmos de clasificación. Cuando muchos usuarios buscan una frase específica y luego todos eligen un resultado específico que no es el primero, ese resultado obviamente debe ser más relevante que el resultado número uno y debe moverse hacia arriba. Por lo tanto, simular un montón de solicitudes de búsqueda para una determinada frase y luego seleccionar un sitio web específico de los resultados puede hacer que esa página obtenga una clasificación más alta para esa frase.

Además, la función de autocompletar de muchos motores de búsqueda se basa en lo que otros usuarios buscan, lo que lo convierte en otro objetivo interesante para el spam de motores de búsqueda. Cuando tuviera un millón de búsquedas de robots malware behavior stackexchange.com , cualquier persona que comience a escribir malware behavi en google obtendría la frase anterior como una sugerencia de autocompletar. La búsqueda de malware behavior devuelve todo tipo de sitios web diferentes, al hacer clic en ese resultado autocompletado devolvería principalmente los resultados de este sitio web . Eso realmente aumentaría nuestro tráfico.

Sólo estoy adivinando aquí. Pero proporcionaría una solución alternativa al problema de la resolución de nombres para utilizar un motor de búsqueda en lugar de DNS para encontrar un servidor CnC o para buscar actualizaciones y campañas.

No queda claro en la página web si se trata simplemente de ir a la página principal o ejecutar una consulta, y no tengo herramientas para leer los archivos de pcap por mi cuenta. Incluso si esa no es la razón en este caso, uno no puede descartarlo como una opción para que lo use el malware.

Recuerdo un caso (pero no el nombre del caso) en el que el malware enviaba periódicamente solicitudes de http a sitios web grandes y confiables para obtener un UTC confiable, el malware fue diseñado con una bomba cronometrada, configurada como Negación de Servicio a un sitio específico en una fecha / hora determinada.