Размеры бот-сети из компьютеров Apple не уменьшаются

По данным аналитиков компании по состоянию на 19 апреля (более свежие данные еще не проанализированы), ежедневно о своей работоспособности сообщали 650 тысяч зараженных компьютеров Mac, включенных в бот-сеть Flashback. Всего же за все время наблюдений компания зарегистрировала 817,8 тысячи уникальных компьютеров. Сеть была обнаружена специалистами «Доктор Веб» в начале апреля и стала крупнейшей за последние несколько лет.

Вслед за этой компанией, собственный анализ сети представили компании Symantec, «Лаборатория Касперского» и ряд других антивирусных вендоров. В течение минувшей недели представители Symantec регулярно сообщали о планомерном снижении количества зараженных компьютеров в бот-сети. Сходной точки зрения придерживались и в «Лаборатории Касперского», представители которой сообщили в конце минувшей недели о том, что количество зараженных компьютеров в бот-сети Flashback упало до 30 тысяч. Однако в «Доктор Веб» настаивают на других цифрах.

«В последнее время в открытых источниках появляются сообщения об уменьшении численности инфицированных троянцем BackDoor.Flashback.39 «маков», но компания «Доктор Веб» располагает иными статистическими данными — количество инфицированных компьютеров по-прежнему составляет порядка 650 тысяч», — говорится в сообщении компании.

Причину такого расхождения с результатами наблюдений других компаний в «Доктор Веб» объясняют особенностями функционирования троянской программы. В частности, троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов (серверов, с которых троянец получает команды от злоумышленников): имена основной части доменов генерируются на основании встроенных в вредоносную программу конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами.

Компании «Доктор Веб» удалось зарегистрировать домены поддельных командных серверов с такими именами, чтобы успешно заразившие компьютеры копии троянца Flashback, прежде всего, обращались к серверам антивирусной компании.

Компания Symantec в понедельник выступила с заявлением в котором частично признала правоту «Доктор Веб».

При этом в «Доктор Веб» затрудняются предположить, с чем может быть связан тот факт, что количество зараженных Mac не уменьшается, несмотря на то, что и сама Apple, и антивирусные компании выпустили ряд программных средств для лечения угрозы.

Остаются неизвестными и цели, для которых злоумышленники создали бот-сеть. Однако эксперты сообщают, что Flashback способен менять содержимое некоторых веб-страниц в браузере зараженного компьютера, а также отсылать данные на удаленный сервер и загружать новое вредоносное ПО. Эта комбинация функций, в частности, позволяет злоумышленникам похищать пароли от учетных записей в социальных сетях и системах банковского обслуживания.

Географически большая часть заражений приходится на США, Канаду, Великобританию и Австралию. Россия находится в этом списке на одном из последних мест.

Для облегчения поиска и удаления троянца Flashback компания «Доктор Веб» открыла специальный раздел на своем официальном сайте. Раздел называется Anti Flashback, через него пользователи могут выяснить, заражен их компьютер или нет, узнать о том, как работает троянец и скачать ПО для его удаления. Подобные проекты есть у «Лаборатории Касперского» и других антивирусных компаний.

Компания «Доктор Веб» (основана в 2003 году) — российский разработчик средств информационной безопасности. Антивирусные продукты под маркой Dr.Web разрабатываются с 1992 года.

По материалам РИА Новости