Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

wr224 · 08-04-12 09:04:12

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

Заражение троянцем BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много — все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. Среди недавно выявленных вредоносных сайтов фигурируют, в частности:

- godofwar3.rr.nu
- ironmanvideo.rr.nu
- killaoftime.rr.nu
- gangstasparadise.rr.nu
- mystreamvideo.rr.nu
- bestustreamtv.rr.nu
- ustreambesttv.rr.nu
- ustreamtvonline.rr.nu
- ustream-tv.rr.nu
- ustream.rr.nu

По информации из некоторых источников на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жестком диске следующих компонентов:

- /Library/Little Snitch
- /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
- /Applications/VirusBarrier X6.app
- /Applications/iAntiVirus/iAntiVirus.app
- /Applications/avast!.app
- /Applications/ClamXav.app
- /Applications/HTTPScoop.app
- /Applications/Packet Peeper.app

Если указанные файлы обнаружить не удалось, то троянец формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Следует отметить, что вредоносная программа использует весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Получив ответ управляющего сервера, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA, а затем, если проверка оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием методrа sinkhole специалистам компании «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

На 4 апреля в бот-сети действует более 550 000 инфицированных компьютеров, работающих под управлением операционной системы Mac OS X. При этом речь идет только о некоторой части ботнета, использующей данную модификацию троянца BackDoor.Flashback. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).

Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39 специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.

источник

пс Интересно, может у луноходов, лазящих по порносайтам из бизапасного линуха, такая же ситуация

Ниасиляторрр · 08-04-12 09:49:25

Читали-читали. Вот такое блин, насквозь безопасное яблоко. Сейчас набегут луноходы с огрызочниками и заорут, что 550 000 это хуйня, а вот у вас на винде...

Babusha · 08-04-12 10:10:25

Это все доказывает то, что линух и мак безопасен не потому, что они божественны, а потому что имели меньший процент. Людям просто невыгодно было писать вирусы. Андроед тому второе доказательство, что швабода нифига не защищает от уязвимостей и вредноностного ПО.

Зато, в винде есть первоклассные средства безопасности, которых нет ни в одной ОС.

NEMO · 08-04-12 14:06:04

Babusha пишет:

Зато, в винде есть первоклассные средства безопасности, которых нет ни в одной ОС.

Потому что подобного рода опасности всегда двигают прогресс. Битва меча и щита. Окажись на месте винды другие ОС в столь агрессивной среде, не жить им просто. Там не то что недоразвиты средства безопасности, там люди, не бывавшие на войне и не имеющие никакого опыта. Сегодня немного продвинутый пользователь на Винде благодаря вирусам знает, что такое реестр, автозагрузка, конфиги, знает, как лечить и как вирус попадает на компьютер.
А тем временем после взлома Kernel.org админы 17 дней не могли обнаружить троян в автозагрузке, найдя его и поняв, что голой жопой что-то более сложное бессмысленно искать, решили полностью переустановить систему. Современная IT-медицина, блин. Вместо лечения - ампутация.

afrashkin · 08-04-12 16:07:06

Хм, доктор веб, такой няшный. Во первых, заражается через Java. Во вторых, по умолчанию Java на маках не стоит. Нужна она только разрабам, а те могут следить за безопасностью своего компа. То что Java дырявая, только ленивый не говорит. Интересно, сколько народа в России скачало Доктора веба?
Но по поводу неуязвимости маков, здесь не распространенность влияет, а то что под маки трудозатратно писать вирусы. Экономически не обоснованно. Да и зачем, когда есть огромная армия юзеров на винде. Проще и дешевле писать для них. Примерно такая же ситуация, только чуть хуже, у линуксоидов. Хуже потому, что нет никакого контроля за деятельностью программ и исполняемым кодом и Java. Если этот флэшбэк и существует в природе, то эппл обновления уже выпустила. Свой комп проверил, обновления поставил. tongue

Добавлено спустя 03 мин 01 с:

Babusha пишет:

Зато, в винде есть первоклассные средства безопасности, которых нет ни в одной ОС.

Как бэ намекает...
Screen%20Shot%202012-04-08%20at%208.08.35%20AM.png

NEMO · 08-04-12 16:22:12

afrashkin пишет:

Но по поводу неуязвимости маков, здесь не распространенность влияет, а то что под маки трудозатратно писать вирусы. Экономически не обоснованно.

Как раз из первого и следует второе. Маков мало - писать вирусы невыгодно.

afrashkin · 08-04-12 16:42:45

NEMO пишет:

Как раз из первого и следует второе. Маков мало - писать вирусы невыгодно.

habrahabr.ru/post/14297/ почитайте, что ли...
Да и кстати, если что, мак откатывается на любой бэкап без проблем
Screen%20Shot%202012-04-08%20at%208.45.12%20AM.png
Что такое time machine, надеюсь слышали? Любой бэкап с самого начала использования мака. У меня под эти цели выделен зашифрованный диск на 300 гб. Плюс включено шифрование системного диска. Ну и файрвол. Ну есть у меня паранойя по защите системы, с винды осталась.

Отредактировано afrashkin (08-04-12 16:51:15)

NEMO · 08-04-12 16:58:30

09 В написании вредоносного ПО замешаны большие деньги
Большинство “вредных” программ на сегодняшний день используются для двух целей: либо захват информации с вашего компьютера (например, сбор имен пользователей и паролей во время входа на сайт банка), или же создание огромных сетей из тысяч (или десятков тысяч) компьютеров чтобы генерировать спам и участвовать в DDoS атаках на различные вебсайты. В любом случае там крутятся большие деньги, и управляется это все далеко не любителями. И когда появится экономический смысл целиться на пользователей Apple, они обязательно будут под прицелом.

Ну, вот оно. И мне кажется, что проблема в количестве пользователей Мака.
А что вы считаете? Скажите сами, а не ссылками тыкайте.

afrashkin · 08-04-12 17:43:01

NEMO пишет:

Ну, вот оно. И мне кажется, что проблема в количестве пользователей Мака.
А что вы считаете? Скажите сами, а не ссылками тыкайте.

Если вам интересно мое мнение...
Сейчас мак система безопасная, в будущем, учитывая рост пользователей, эппл делает систему аналогичной IOS. Уже сейчас программы имеют ограниченные права. В будущем песочница будет еще строже, программы будут иметь доступ к файлам пользователей через некий промежуточный буфер. Возможно не в следующем горном льве, но после него. Сегодня каждая программа в мак ос х имеет ограниченные права, чтобы программа могла обращаться к внешним источникам, ей нужно разрешение пользователя(если включен файрвол). При установке программ, система запрашивает пароль пользователя. Тот вирус, про который идет речь, использует уязвимости Java. Java and Flash просто слишком дырявые продукты и их дырявость тянется из прошлого. Я считаю правильным отказ от использования этих технологий. Кстати, майкрософт, отказалась от предустановленной Java раньше эппл.
Отвечая на вопрос, я считаю, что Mac OS X безопаснее MS Windows, хотя на винде у меня тоже вирусов не было. Сломать можно все. Проблема в том, что на маке уязвимостей меньше и надо очень сильно постараться их найти и попытаться эксплуатировать.
Производителям вирусов выгодно нагнетать ситуацию. Я бы подождал заявляния Apple по этому вопросу. Будет смешно, когда кто то, помимо доктора веба разберется в вопросе и скажет, что все это туфта и за ботнет приняли какой нибудь мессенджер использующий Java или еще хуже какой нибудь плагин. Например базы "вирусов" в маковских антивирусах содержат в себе сигнатуры троянов, которые пользователь должен установить сам и которые имеют очень ограниченный доступ к системе, что делает их бесполезными для их создателей.
Писать вирусы под маки более выгодно, хотя бы потому, что маками владеют обеспеченные люди, которые доверяют своим машинам финансовую информацию. 80% пользователей винды используют ее для контактика и игр. Например гугл в своих офисах не использует винду, совсем. Только мак или их, гугловская, версия линукс. Я бы не отказался потестить гугловский линукс. Винда у них под запретом.

selenscy · 08-04-12 23:54:08

afrashkin пишет:

Если вам интересно мое мнение...
Бла-бла-бла

Нет безопасных систем.

afrashkin · 09-04-12 02:51:23

selenscy пишет:

Нет безопасных систем.

Обоснуете? Или так, выхлоп случайный?

Walther · 09-04-12 14:18:29

afrashkin пишет:

Писать вирусы под маки более выгодно, хотя бы потому, что маками владеют обеспеченные люди, которые доверяют своим машинам финансовую информацию. 80% пользователей винды используют ее для контактика и игр.

Выгода определяется поставленными целями. Если цель - создать ботнет, то маки нах никому не нужны.

Rorschach · 09-04-12 14:27:32

afrashkin пишет:

Писать вирусы под маки более выгодно, хотя бы потому, что маками владеют обеспеченные люди, которые доверяют своим машинам финансовую информацию. 80% пользователей винды используют ее для контактика и игр.

Ты какбэ посмотри 7 на чем сидят крупные компании и подумай какой бред ты сейчас напейсал.

afrashkin пишет:

Обоснуете? Или так, выхлоп случайный?

В что обосновывать то. Ботнет под маки говорит как раз об этом, да и ботнеты под винду, да и обнаруженные уязвимости в ядре линуха, не?

дохтур · 09-04-12 14:39:14

afrashkin пишет:

Обоснуете? Или так, выхлоп случайный?

Безопасность это не свойство, а процесс. Не ломают лишь то, что никому не нужно даже в исследовательскихе целях

Rorschach · 09-04-12 14:40:56

дохтур пишет:

Безопасность это не свойство, а процесс. Не ломают лишь то, что никому не нужно даже в исследовательскихе целях

Именно так и на сегодняшний момент самая безопасная ось - это Haiku на с егодняшний момент.

afrashkin · 09-04-12 15:31:33

Rorschach пишет:

Ты какбэ посмотри 7 на чем сидят крупные компании и подумай какой бред ты сейчас напейсал.

Это вы про какие крупные компании говорите? В моем городе есть RIM, Google, KPMG и еще хренова туча международных компаний. В некоторых из них, где есть винда, даже Outlook не используют, не потому что плохой, так сложилось. Google, конечно же, нихрена не крупная компания, куда им до газпрома. Я не говорю, что бизнесс по всему миру использует маки, я говорю о том, что маками пользуются состоятельные люди, потому что до недавнего времени цены на них были высокими.
Я ваши комментарии когда читаю, складывается впечатление, что вы не думаете, а бредите. Ничего личного, но каких либо мыслей в ваших комментариях замечено не было.

Добавлено спустя 01 мин 07 с:

Rorschach пишет:

Ботнет под маки говорит как раз об этом, да и ботнеты под винду, да и обнаруженные уязвимости в ядре линуха, не?

Про бред, и при чем здесь ядро линукса?

Rorschach · 09-04-12 15:43:59

afrashkin пишет:

Это вы про какие крупные компании говорите? В моем городе есть RIM, Google, KPMG и еще хренова туча международных компаний. В некоторых из них, где есть винда, даже Outlook не используют, не потому что плохой, так сложилось. Google, конечно же, нихрена не крупная компания, куда им до газпрома. Я не говорю, что бизнесс по всему миру использует маки, я говорю о том, что маками пользуются состоятельные люди, потому что до недавнего времени цены на них были высокими.
Я ваши комментарии когда читаю, складывается впечатление, что вы не думаете, а бредите. Ничего личного, но каких либо мыслей в ваших комментариях замечено не было.

А я говорю про GE, Schneider, Siemems, Pratt & Whitney, Alstom. Ваше фанатичное мнение макофаната ну мне реально параллельно. Да и последние годы я наблюдаю макбуки даже у тех, кто кактается на россиянских плацкартах и мак уже давно уже не показатеь богатства. Так же, учитывая ваш бред можно сказать что состоятельные люди пользуются Sony Vaio, которые по цене стоят так же, а то и дороже чем маки. Не?

Добавлено спустя 08 мин 47 с:

afrashkin пишет:

Про бред, и при чем здесь ядро линукса?

при том, что уязвимости есть везде, втч и на маках.

afrashkin · 09-04-12 16:21:41

Rorschach пишет:

Ваше фанатичное мнение макофаната ну мне реально параллельно.

Ясно, подтверждает мой предыдущий тезис.

Rorschach пишет:

Так же, учитывая ваш бред можно сказать что состоятельные люди пользуются Sony Vaio, которые по цене стоят так же, а то и дороже чем маки.

А ничего, что уже самый сраненький ультрабук, дороже мака? А что касаемо сони, никогда не испытывал восторга от них, был у меня один в свое время, так себе ноут.

Rorschach пишет:

при том, что уязвимости есть везде, втч и на маках.

Да кто же спорит то? Я говорю о количестве угроз и их качестве. Я также говорил что и на винде с вирусами проблем не имел и не имею. А вирус, который отказывается устанавливаться, обнаружив установленный Xcode, при том, что ему нужна Java(которая нужна только разрабам), выглядит смешным. Там, где потенциально есть возможность для установки, он не устанавливается, боится. А остальным Java нахрен не нужна, если не юзать какой нибудь швабодный продукт.

Tritus · 09-04-12 16:29:10

Rorschach пишет:

при том, что уязвимости есть везде, втч и на маках.

Это факт. Широко распространенное мнение о безопасности продуктов Apple возникло, на мой взгляд, во многом благодаря грамотной политике самой компании. Вот что пишет сама Apple www.apple.com/ru/support/security/ :

"В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски."

И это правильно.

Отредактировано Tritus (09-04-12 16:29:32)

Rorschach · 09-04-12 16:31:58

afrashkin пишет:

А ничего, что уже самый сраненький ультрабук, дороже мака? А что касаемо сони, никогда не испытывал восторга от них, был у меня один в свое время, так себе ноут.

Ну, отвечу вашими же словами

afrashkin пишет:

Ясно, подтверждает мой предыдущий тезис.

afrashkin пишет:

Да кто же спорит то? Я говорю о количестве угроз и их качестве. Я также говорил что и на винде с вирусами проблем не имел и не имею. А вирус, который отказывается устанавливаться, обнаружив установленный Xcode, при том, что ему нужна Java(которая нужна только разрабам), выглядит смешным. Там, где потенциально есть возможность для установки, он не устанавливается, боится. А остальным Java нахрен не нужна, если не юзать какой нибудь швабодный продукт.

См что тебе ответили выше.

Отредактировано Rorschach (09-04-12 16:35:16)

afrashkin · 09-04-12 16:35:35

Rorschach пишет:

См что тебе ответили ниже.

Поздравляю, копипаст вы освоили.

Rorschach · 09-04-12 16:49:05

afrashkin пишет:

Поздравляю, копипаст вы освоили.

Да давно уже. а вот в iOS он появился не сразу, если что.

afrashkin · 09-04-12 16:53:22

Rorschach пишет:

Да давно уже. а вот в iOS он появился не сразу, если что.

У меня иммунитет к вашим "остроумным" шуткам.

Rorschach · 09-04-12 16:59:37

afrashkin пишет:

У меня иммунитет к вашим "остроумным" шуткам.

Что-то не заметно.

beep · 10-04-12 12:01:18

любая система уязвимая, безопасности нет, защиты от дурака нет! big_smile

а тот кто кричит что моя Ос неуязвимая тот не имеет понятия что такое безопасность

Форум StopLinux

Объявление

#1 08-04-12 09:04:12

Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#2 08-04-12 09:49:25

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#3 08-04-12 10:10:25

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#4 08-04-12 14:06:04

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#5 08-04-12 16:07:06

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#6 08-04-12 16:22:12

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#7 08-04-12 16:42:45

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#8 08-04-12 16:58:30

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#9 08-04-12 17:43:01

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#10 08-04-12 23:54:08

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#11 09-04-12 02:51:23

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#12 09-04-12 14:18:29

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#13 09-04-12 14:27:32

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#14 09-04-12 14:39:14

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#15 09-04-12 14:40:56

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#16 09-04-12 15:31:33

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#17 09-04-12 15:43:59

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#18 09-04-12 16:21:41

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#19 09-04-12 16:29:10

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#20 09-04-12 16:31:58

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#21 09-04-12 16:35:35

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#22 09-04-12 16:49:05

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#23 09-04-12 16:53:22

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#24 09-04-12 16:59:37

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

#25 10-04-12 12:01:18

Re: Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Подвал форума