Блог

Вчера о подробностях крупнейшей Mac-эпидемии”  рассказала “Лаборатория Касперского” (ЛК). [spoiler] В терминах ЛК виновником данной эпидемии является ботнет Flashfake/Flashback, первые признаки появления которого компания почувствовала ещё в сентябре прошлого года. Сегодня свою версию “этапов большого пути” Мac-зловреда обнародовала компания Dr. Web (ООО “Доктор Веб”).

В целом версии очень похожи, но есть и некоторые “непересекающиеся” моменты. В частности, “Доктор Веб” называет сей зловред не Flashfake/Flashback (как ЛК), а BackDoor.Flashback.39. Ну да это мелочи, ведь никто пока не знает, как данного троянца назвали его “родители”. Да и сами родители пока не спешат взять на себя ответственность за нашумевшую историю. Интересно, объявит ли Apple приличную сумму вознаграждения тому, кто поможет правоохранительным органам выявить имена и координаты авторов зловреда?  

Однако вернемся к теме поста. Вот как выглядит хронология нашумевшего Mac-троянца (он, если помните, инфицировал свыше 650 тыс. компьютеров, работающих под управлением операционной системы Mac OS X) по версия Dr.Web:

Февраль 2012 г. Компания Oracle выпустила обновление виртуальной машины Java, содержащее исправление уязвимостей, которые эксплуатирует BackDoor.Flashback.39.

25 марта 2012 г. Зарегистрированы первые домены бот-сети Flashback.

27 марта 2012 г. Компания "Доктор Веб" добавила сигнатуру троянца BackDoor.Flashback.39 в вирусные базы Dr.Web для Mac OS X.

3 апреля 2012 г. Специалисты ООО “Доктор Веб”, проанализировав используемый троянцем BackDoor.Flashback.39 алгоритм генерации доменных имен управляющих серверов, регистрируют несколько доменных имен и начинает сбор статистики, анализируя поступающие от ботов запросы. В первые же часы зафиксировано более 130 тыс. откликов троянцев.

4 апреля 2012 г. Согласно собранным вирусной лабораторией данным, размер ботнета BackDoor.Flashback.39 достиг 550 тыс. инфицированных узлов. “Доктор Веб” выпускает пресс-релиз, рассказывающий об эпидемии троянца BackDoor.Flashback.39.

4 апреля 2012 г. (3 апреля для жителей Северной Америки). Компания Apple выпустила обновление собственной реализации Java-машины, закрывающее эксплуатируемые троянцем BackDoor.Flashback.39 уязвимости. В силу различия в часовых поясах многие пользователи Mac OS X получили обновление со значительным опозданием.

4 апреля 2012 г. Размер ботнета превысил 600 тыс. инфицированных “маков”.

6 апреля 2012 г. Компания Apple выпускает второе обновление, устраняющее эксплуатируемые троянцем BackDoor.Flashback.39 уязвимости.

9 и 10 апреля. “Яблочная” корпорация предприняла безуспешные попытки заблокировать домены, используемые компанией “Доктор Веб” для изучения бот-сети BackDoor.Flashback.39.

10 апреля - общее количество зараженных троянцем компьютеров превысило 650 тыс.

По оценкам ООО “Доктор Веб”, в настоящее время число машин, инфицированных вредоносной программой BackDoor.Flashback.39 составляет 655 700. Пользователи операционной системы Mac OS X могут проверить свои компьютеры на наличие заражений, воспользовавшись предоставляемым компанией "Доктор Веб" бесплатным сервисом https://www.drweb.com/flashback.

Есть такого рода сервис и у ЛК. Эксперты Лаборатории создали специальный сайт flashbackcheck.com, который позволяет владельцам компьютеров Mac установить необходимые патчи и определить наличие бота, а также инсталлировать бесплатную утилиту Kaspersky Flashfake Removal Tool, предназначенную для его удаления.

Одним словом, не все так страшно. Враг выявлен и локализован. Осталось лишь добить его с минимальными потерями для пострадавших пользователей. Но будет ли победа окончательной и бесповоротной? Ведь дурной пример, как известно, заразителен. Что вы думаете на этот счет?