Размеры бот-сети из компьютеров Apple не уменьшаются


Apple Shop в Москве. Фото РИА НовостиApple Shop в Москве. Фото РИА НовостиРазмеры бот-сети Flashback, в которую входит более 600 тысяч зараженных одноименной троянской программой компьютеров Apple Mac, меняются незначительно и не переживают серьезного сокращения, вопреки сообщениям от ряда антивирусных компаний, появившимся на прошлой неделе, сообщила в понедельник пресс-служба российской антивирусной компании «Доктор Веб», впервые обнаружившей бот-сеть.

По данным аналитиков компании по состоянию на 19 апреля (более свежие данные еще не проанализированы), ежедневно о своей работоспособности сообщали 650 тысяч зараженных компьютеров Mac, включенных в бот-сеть Flashback. Всего же за все время наблюдений компания зарегистрировала 817,8 тысячи уникальных компьютеров. Сеть была обнаружена специалистами «Доктор Веб» в начале апреля и стала крупнейшей за последние несколько лет.

Вслед за этой компанией, собственный анализ сети представили компании Symantec, «Лаборатория Касперского» и ряд других антивирусных вендоров. В течение минувшей недели представители Symantec регулярно сообщали о планомерном снижении количества зараженных компьютеров в бот-сети. Сходной точки зрения придерживались и в «Лаборатории Касперского», представители которой сообщили в конце минувшей недели о том, что количество зараженных компьютеров в бот-сети Flashback упало до 30 тысяч. Однако в «Доктор Веб» настаивают на других цифрах.

«В последнее время в открытых источниках появляются сообщения об уменьшении численности инфицированных троянцем BackDoor.Flashback.39 «маков», но компания «Доктор Веб» располагает иными статистическими данными — количество инфицированных компьютеров по-прежнему составляет порядка 650 тысяч», — говорится в сообщении компании.

Причину такого расхождения с результатами наблюдений других компаний в «Доктор Веб» объясняют особенностями функционирования троянской программы. В частности, троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов (серверов, с которых троянец получает команды от злоумышленников): имена основной части доменов генерируются на основании встроенных в вредоносную программу конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами.

Компании «Доктор Веб» удалось зарегистрировать домены поддельных командных серверов с такими именами, чтобы успешно заразившие компьютеры копии троянца Flashback, прежде всего, обращались к серверам антивирусной компании.

Однако следом троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру по адресу 74.207.249.7. Центр устанавливает связь с зараженными компьютерами и не закрывает соединение, что приводит к ситуации, в которой боты ждут ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности из других компаний.
«Это и является причиной появления противоречивой статистики от разных антивирусных компаний — с одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой — данные компании «Доктор Веб» неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению», — поясняют в компании.

Компания Symantec в понедельник выступила с заявлением в котором частично признала правоту «Доктор Веб».

При этом в «Доктор Веб» затрудняются предположить, с чем может быть связан тот факт, что количество зараженных Mac не уменьшается, несмотря на то, что и сама Apple, и антивирусные компании выпустили ряд программных средств для лечения угрозы.

Остаются неизвестными и цели, для которых злоумышленники создали бот-сеть. Однако эксперты сообщают, что Flashback способен менять содержимое некоторых веб-страниц в браузере зараженного компьютера, а также отсылать данные на удаленный сервер и загружать новое вредоносное ПО. Эта комбинация функций, в частности, позволяет злоумышленникам похищать пароли от учетных записей в социальных сетях и системах банковского обслуживания.

Географически большая часть заражений приходится на США, Канаду, Великобританию и Австралию. Россия находится в этом списке на одном из последних мест.

Для облегчения поиска и удаления троянца Flashback компания «Доктор Веб» открыла специальный раздел на своем официальном сайте. Раздел называется Anti Flashback, через него пользователи могут выяснить, заражен их компьютер или нет, узнать о том, как работает троянец и скачать ПО для его удаления. Подобные проекты есть у «Лаборатории Касперского» и других антивирусных компаний.

Компания «Доктор Веб» (основана в 2003 году) — российский разработчик средств информационной безопасности. Антивирусные продукты под маркой Dr.Web разрабатываются с 1992 года.

По материалам РИА Новости


Если Вам понравилась статья, не забудьте поделиться в соцсетях

Вас также может заинтересовать:

  • Космический грузовик «Прогресс М-15М» успешно пристыковался к МКС
  • Гены, связанные с аутизмом, также отвечают и за шизофрению
  • Коренные жители обрабатывали земли Амазонии без огня
  • Очки помогут похудеть
  • Mozilla готовится выпустить серию смартфонов


  • Top