Размеры бот-сети из компьютеров Apple не уменьшаются

Размеры бот-сети Flashback, в которую входит более 600 тысяч зараженных одноименной троянской программой компьютеров Apple Mac, меняются незначительно и не переживают серьезного сокращения, вопреки сообщениям от ряда антивирусных компаний, появившимся на прошлой неделе, сообщила в понедельник пресс-служба российской антивирусной компании "Доктор Веб", впервые обнаружившей бот-сеть.

По данным аналитиков компании по состоянию на 19 апреля (более свежие данные еще не проанализированы), ежедневно о своей работоспособности сообщали 650 тысяч зараженных компьютеров Mac, включенных в бот-сеть Flashback. Всего же за все время наблюдений компания зарегистрировала 817,8 тысячи уникальных компьютеров. Сеть была обнаружена специалистами "Доктор Веб" в начале апреля и стала крупнейшей за последние несколько лет.

Вслед за этой компанией, собственный анализ сети представили компании Symantec, "Лаборатория Касперского" и ряд других антивирусных вендоров. В течение минувшей недели представители Symantec регулярно сообщали о планомерном снижении количества зараженных компьютеров в бот-сети. Сходной точки зрения придерживались и в "Лаборатории Касперского", представители которой сообщили в конце минувшей недели о том, что количество зараженных компьютеров в бот-сети Flashback упало до 30 тысяч. Однако в "Доктор Веб" настаивают на других цифрах.

"В последнее время в открытых источниках появляются сообщения об уменьшении численности инфицированных троянцем BackDoor.Flashback.39 "маков", но компания "Доктор Веб" располагает иными статистическими данными - количество инфицированных компьютеров по-прежнему составляет порядка 650 тысяч", - говорится в сообщении компании.

Причину такого расхождения с результатами наблюдений других компаний в "Доктор Веб" объясняют особенностями функционирования троянской программы. В частности, троянец BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов (серверов, с которых троянец получает команды от злоумышленников): имена основной части доменов генерируются на основании встроенных в вредоносную программу конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами.

Компании "Доктор Веб" удалось зарегистрировать домены поддельных командных серверов с такими именами, чтобы успешно заразившие компьютеры копии троянца Flashback, прежде всего, обращались к серверам антивирусной компании.

Однако следом троянцы обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру по адресу 74.207.249.7. Центр устанавливает связь с зараженными компьютерами и не закрывает соединение, что приводит к ситуации, в которой боты ждут ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности из других компаний.

"Это и является причиной появления противоречивой статистики от разных антивирусных компаний - с одной стороны, Symantec и "Лаборатория Касперского" заявляли о значительном уменьшении числа ботов, с другой - данные компании "Доктор Веб" неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению", - поясняют в компании.

Компания Symantec в понедельник выступила с заявлением в котором частично признала правоту "Доктор Веб".

При этом в "Доктор Веб" затрудняются предположить, с чем может быть связан тот факт, что количество зараженных Mac не уменьшается, несмотря на то, что и сама Apple, и антивирусные компании выпустили ряд программных средств для лечения угрозы.

Остаются неизвестными и цели, для которых злоумышленники создали бот-сеть. Однако эксперты сообщают, что Flashback способен менять содержимое некоторых веб-страниц в браузере зараженного компьютера, а также отсылать данные на удаленный сервер и загружать новое вредоносное ПО. Эта комбинация функций, в частности, позволяет злоумышленникам похищать пароли от учетных записей в социальных сетях и системах банковского обслуживания.

Географически большая часть заражений приходится на США, Канаду, Великобританию и Австралию. Россия находится в этом списке на одном из последних мест.

Для облегчения поиска и удаления троянца Flashback компания "Доктор Веб" открыла специальный раздел на своем официальном сайте. Раздел называется Anti Flashback, через него пользователи могут выяснить, заражен их компьютер или нет, узнать о том, как работает троянец и скачать ПО для его удаления. Подобные проекты есть у "Лаборатории Касперского" и других антивирусных компаний.

Компания "Доктор Веб" (основана в 2003 году) - российский разработчик средств информационной безопасности. Антивирусные продукты под маркой Dr.Web разрабатываются с 1992 года.

По материалам РИА Новости