最有可能的是，它只是试图检查是否有可用的互联网连接。

恶意软件作者假设：

• 谷歌（或其他 Alexa Top-1M 网站）将有 99.999% 的时间上涨。
• 流向 Google 等常见生产力网站的流量不会被标记为异常。
• 您（或您的网络管理员）不太可能在网关处阻止这些站点。

因此，谷歌是一个很好的候选人。

简单的连接测试是恶意软件可能连接到 Google、Yahoo 和其他搜索引擎的原因之一，但我想提出不同的解释。

僵尸网络的一种常见应用是搜索引擎垃圾邮件 优化。

正如您可能注意到的那样，Google（和大多数其他搜索引擎）的结果页面不会直接指向结果，而是指向重定向链接。这使他们能够检查访问者实际访问的结果。搜索引擎将此信息用作其排名算法的一部分。当许多用户搜索一个特定的短语，然后都选择一个不是第一个的特定结果时，该结果显然必须比第一个结果更相关，并且应该向上移动。因此，为某个短语模拟大量搜索请求，然后从结果中选择一个特定网站，可能会导致该页面在该短语中的排名更高。

此外，许多搜索引擎的自动完成功能基于其他用户搜索的内容，这使其成为搜索引擎垃圾邮件的另一个有趣目标。当我有一百万个机器人搜索malware behavior stackexchange.com时，任何其他开始输入malware behavi谷歌的人都会得到上面的短语作为自动完成建议。搜索malware behavior会返回各种不同的网站，而单击该自动完成结果将主要返回来自该网站的结果。那真的会增加我们的流量。

我只是在这里猜测。但它将为名称解析问题提供另一种解决方案，即使用搜索引擎而不是 DNS 来查找 CnC 服务器或轮询更新和活动。

从网页上不清楚它是简单地点击首页还是运行查询——而且我这里没有工具来自己阅读 pcap 文件。即使这不是这种情况的原因，也不能将其视为恶意软件使用的一种选择。

我记得一个案例（但不是案例的名称），恶意软件会定期向大型可靠的网站发送空白 http 请求以获得可靠的 UTC，恶意软件设计有定时炸弹，设置为拒绝服务指定特定日期/时间的站点。