17 de agosto de 2011

Localizando portales de administración "ocultos" con Google

Aprovechando que se ha filtrado el código fuente de la versión 1.3.45 de SpyEye, voy a escribir una breve entrada sobre cómo aprovechar los buscadores para localizar portales de administración de este tipo de malware.

SpyEye suele tener dos portales de administración con títulos "CN 1" y "SYN 1". De este modo, si utilizamos googler (o directamente Google / Bing...) con las siguientes consultas:

"please, enter password" +intitle:"cn 1"
"please, enter password" +intitle:"syn 1"
"please, enter password" +intitle:"sn 1"

vemos que aparecen algunos resultados:


Aunque no todos ellos siguen activos, sí que se pueden encontrar algunos que todavía están en funcionamiento:


Podemos hacer lo mismo para tratar de buscar portales de otros tipos de virus, como por ejemplo el algo más antiguo Zeus:

intitle:login "User name:" "Remember" "MD5 cookies"


Esto ha sido todo de momento... Y por cierto, el código fuente de SpyEye se puede descargar desde aquí:

http://megaupper.com/files/1SUIVJTF/SpyEye%201.3.45%20Loader.rar