Компания
50,14
рейтинг
4 апреля 2012 в 17:36

Разное → «Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Специалисты компании «Доктор Веб» провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».


Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. Среди недавно выявленных вредоносных сайтов фигурируют, в частности:

godofwar3.rr.nu
ironmanvideo.rr.nu
killaoftime.rr.nu
gangstasparadise.rr.nu
mystreamvideo.rr.nu
bestustreamtv.rr.nu
ustreambesttv.rr.nu
ustreamtvonline.rr.nu
ustream-tv.rr.nu
ustream.rr.nu
По информации из некоторых источников на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.
image
Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app
Если указанные файлы обнаружить не удалось, то троянец формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Следует отметить, что вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам компании «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

На 4 апреля в бот-сети действует более 550 000 инфицированных компьютеров, работающих под управлением операционной системы Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).
image
Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.
Автор: @doctorweb
Доктор Веб
рейтинг 50,14
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Комментарии (27)

  • +8
    Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска.

    Файл потом сам запускается?
    • +1
      маками перестали пользоваться люди?
      • +6
        Файл сам скачался, потом надо видимо сума сойти и зачем то его запустить. Или я как раз чего то не понимаю.
        • +2
          не понимаете…
          Проблема в дырявой Java машине
          Oracle уже поправили.

          Яблоки «забили» на обновление — результат на лицо
          • –6
            Это еще раз подтверждает тезис о том что проприетарный софт не гарантирует безопастность. Более того из-за нежелания компании исправлять ошибку в течении 2х месяцев огромное количество пользователе оказалось под угрозой.
          • +3
            Еще вчера вечером вышел апдейт со зловещим размером в 66,6 МБ:

            image
            • 0
              А есть информация о сути этого обновления? Оно только закрывает дыру, или еще и «нечисть» удаляет?
              • 0
                Насколько я знаю, такие обновления только закрывают дырки и не «очищают систему». У F-Secure есть специальная инструкция, позволяющая проверить, заражен компьютер или нет.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      На чём основывается ваше утверждение?
  • +1
    550 тыщь людей захотели посмотреть на вирус и нажали Allow?
    • +4
      Эксплойт вне песочницы, никакого Allow и не требуется.
  • +1
    Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

    О да! Желтый цвет;)
  • –4
    Если челоевк установил или не отключил Java Plugin и Adobe Reader в браузере (люди? вы тупые? через них уже лет 5 как все вирусы распространяются, а вы все этого не понимаете), я считаю он сам виноват. Протроянивание — хорошая мера воздействия на глуповатых и неадекватных людей. Может поумнее будут.
    • +2
      Вы сейчас пошутили? Даже на обычных ПК 90% людей и не знают, что плагины можно отключить, а пользователи маков часто еще дальше от понимания. Не надо по себе весь мир мерить.
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Тогда комментарий относится к продвинутым пользователям, пользователям Хабрахабр и тем, кто ставит непродвинутым пользователям эту дрянь.
  • +1
    Ну вот и на маки антивирусы свои загребущие ручонки потянули. :(
  • 0
    Google Chrome пробивает?
  • 0
    Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA

    Мощно. Или это уже нормальная практика, а я под Линуксом сижу и не знаю ничего?
    • 0
      Ботнеты уже много лет как умеют проверять подлинность команд. В начале нулевых было насколько историй с перехватом ботнетов, с тех пор писатели научились защищать свои детища.
      И линуск тут ни при чём.
      • 0
        Ковырял один ботнет, так троянец общался с узлом через HTTPS. Из дампа памяти выдрал список серверов (насколько я понял, таких же жертв), но перестали ходить данные, видно как-то просекли, что скрипт спалился.
  • +1
    Java-скрипт? Javascript не имеет никакого отношения к Java.
  • 0
    Дык у маков защита как у винды. Только неуловимость их спасала. линуксу это не грозит
    • 0
      Хабрапарсер съел теги. там было:

      <мантра>линуксу это не грозит</мантра&ht;
  • 0
    550 тыс. макдрочеров кушают шоколад в прямом эфире?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное