НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Mac-троянец (ботнетостроитель). Этапы большого пути. Версия Dr.Web

Владимир Митин
11.04.2012 18:10:16

Вчера о подробностях крупнейшей Mac-эпидемии” рассказала “Лаборатория Касперского” (ЛК). В терминах ЛК виновником данной эпидемии является ботнет Flashfake/Flashback, первые признаки появления которого компания почувствовала ещё в сентябре прошлого года. Сегодня свою версию “этапов большого пути” Мac-зловреда обнародовала компания Dr. Web (ООО “Доктор Веб”).

В целом версии очень похожи, но есть и некоторые “непересекающиеся” моменты. В частности, “Доктор Веб” называет сей зловред не Flashfake/Flashback (как ЛК), а BackDoor.Flashback.39. Ну да это мелочи, ведь никто пока не знает, как данного троянца назвали его “родители”. Да и сами родители пока не спешат взять на себя ответственность за нашумевшую историю. Интересно, объявит ли Apple приличную сумму вознаграждения тому, кто поможет правоохранительным органам выявить имена и координаты авторов зловреда?

Однако вернемся к теме поста. Вот как выглядит хронология нашумевшего Mac-троянца (он, если помните, инфицировал свыше 650 тыс. компьютеров, работающих под управлением операционной системы Mac OS X) по версия Dr.Web:

Февраль 2012 г. Компания Oracle выпустила обновление виртуальной машины Java, содержащее исправление уязвимостей, которые эксплуатирует BackDoor.Flashback.39.

25 марта 2012 г. Зарегистрированы первые домены бот-сети Flashback.

27 марта 2012 г. Компания "Доктор Веб" добавила сигнатуру троянца BackDoor.Flashback.39 в вирусные базы Dr.Web для Mac OS X.

3 апреля 2012 г. Специалисты ООО “Доктор Веб”, проанализировав используемый троянцем BackDoor.Flashback.39 алгоритм генерации доменных имен управляющих серверов, регистрируют несколько доменных имен и начинает сбор статистики, анализируя поступающие от ботов запросы. В первые же часы зафиксировано более 130 тыс. откликов троянцев.

4 апреля 2012 г. Согласно собранным вирусной лабораторией данным, размер ботнета BackDoor.Flashback.39 достиг 550 тыс. инфицированных узлов. “Доктор Веб” выпускает пресс-релиз, рассказывающий об эпидемии троянца BackDoor.Flashback.39.

4 апреля 2012 г. (3 апреля для жителей Северной Америки). Компания Apple выпустила обновление собственной реализации Java-машины, закрывающее эксплуатируемые троянцем BackDoor.Flashback.39 уязвимости. В силу различия в часовых поясах многие пользователи Mac OS X получили обновление со значительным опозданием.

4 апреля 2012 г. Размер ботнета превысил 600 тыс. инфицированных “маков”.

6 апреля 2012 г. Компания Apple выпускает второе обновление, устраняющее эксплуатируемые троянцем BackDoor.Flashback.39 уязвимости.

9 и 10 апреля. “Яблочная” корпорация предприняла безуспешные попытки заблокировать домены, используемые компанией “Доктор Веб” для изучения бот-сети BackDoor.Flashback.39.

10 апреля - общее количество зараженных троянцем компьютеров превысило 650 тыс.


По оценкам ООО “Доктор Веб”, в настоящее время число машин, инфицированных вредоносной программой BackDoor.Flashback.39 составляет 655 700. Пользователи операционной системы Mac OS X могут проверить свои компьютеры на наличие заражений, воспользовавшись предоставляемым компанией "Доктор Веб" бесплатным сервисом https://www.drweb.com/flashback.

Есть такого рода сервис и у ЛК. Эксперты Лаборатории создали специальный сайт flashbackcheck.com, который позволяет владельцам компьютеров Mac установить необходимые патчи и определить наличие бота, а также инсталлировать бесплатную утилиту Kaspersky Flashfake Removal Tool, предназначенную для его удаления.

Одним словом, не все так страшно. Враг выявлен и локализован. Осталось лишь добить его с минимальными потерями для пострадавших пользователей. Но будет ли победа окончательной и бесповоротной? Ведь дурной пример, как известно, заразителен. Что вы думаете на этот счет?

Комментариев: 4

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

11.04.2012 20:15:24

Г-н Шаров, генеральный директор Dr.Web, хорошо выразился по этому поводу: "...Безопасность компьютеров Macintosh падает очень быстро, и они (Apple) думают, что делать дальше. Они думают о том, как управлять будущим, где Mac больше не является безопасным ".

Андрей Губанов
13.04.2012 19:11:32

Что делать дальше? Полагаю, что ответ на вопрос, что делать дальше, очевиден. Естественно, покупать антивирус Касперского для MacOS.

13.04.2012 21:42:05

Для MacOS много антивирусов есть...

Только вот трудно понять, какой из них лучше.

Но ясно одно: поклонников надкушенного яблочка заставили задуматься о временами забирающихся в него "червячках"...

Ведь есть пословица про гром и мужика. Так вот -- гром грянул. Молния попала не во всех, но страху нагнала...

13.04.2012 21:42:05

Для MacOS много антивирусов есть...

Только вот трудно понять, какой из них лучше.

Но ясно одно: поклонников надкушенного яблочка заставили задуматься о временами забирающихся в него "червячках"...

Ведь есть пословица про гром и мужика. Так вот -- гром грянул. Молния попала не во всех, но страху нагнала...

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии