(495) 743-98-83
491624410

отправить вопрос

Покупателям Партнерам Форум по продуктам

 запомнить на этом компьютере
забыли пароль? регистрация  
Ваша корзина пуста
Мои заказы

Главная / Форум / Разное / Найдено в сети / Размер бот-сети BackDoor.Flashback.39 изменился незначительно

Размер бот-сети BackDoor.Flashback.39 изменился незначительно


Поиск  Пользователи  Правила 
Закрыть
Логин::
Пароль::
Забыли свой пароль?
Регистрация
Войти
 
Страницы: 1
Размер бот-сети BackDoor.Flashback.39 изменился незначительно
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — продолжает отслеживать состояние крупнейшей на 20 апреля бот-сети, состоящей из компьютеров под управлением Mac OS X. Бот-сеть была обнаружена экспертами «Доктор Веб» 4 апреля 2012 г.

На сегодняшний день, по данным «Доктор Веб», в сети BackDoor.Flashback.39 зарегистрировано 817 879 бота, из них ежесуточно активность проявляют в среднем 550 тыс. инфицированных машин. Так, на 16 апреля в бот-сети BackDoor.Flashback.39 было зафиксировано 717 004 уникальных IP-адресов и 595 816 уникальных UUID инфицированных Apple-совместимых компьютеров. 17 апреля статистика продемонстрировала 714 483 уникальных IP и 582 405 уникальных UUID. При этом ежедневно в ботнете BackDoor.Flashback.39 появляются новые инфицированные компьютеры, не зарегистрированные в сети ранее, говорится в сообщении «Доктор Веб».

Однако в последнее время в отрытых источниках стали появляться публикации, рассказывающие о сокращении численности бот-нета BackDoor.Flashback.39. Как правило, такие материалы основываются на анализе статистики перехваченных управляющих серверов этой сети. Специалисты «Доктор Веб» провели специальное исследование, ставящее своей целью выяснить причины подобного расхождения статистических данных.

Троян BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троян осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. 16 апреля были зарегистрированы дополнительные домены, имена которых генерируются на основе даты. Поскольку данные домены используются всеми подверсиями ботнета BackDoor.Flashback.39, регистрация дополнительных доменов управляющих серверов позволила более точно подсчитать размер вредоносной сети.

Однако следом за серверами, принадлежащими «Доктор Веб», трояны обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. Как пояснили в «Доктор Веб», это и является причиной появления противоречивой статистики от разных антивирусных компаний. С одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой — данные «Доктор Веб» неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению.

На иллюстрации ниже предлагается пример TCP-соединения с командным центром, вызывающего «зависание» ботов BackDoor.Flashback.39:



«Доктор Веб» вновь предупреждает пользователей Mac OS X об опасности заражения вредоносной программой BackDoor.Flashback.39, призывает установить обновления Java и проверить компьютеры на наличие заражения, для чего можно воспользоваться ресурсами сайта drweb.com/flashback. Удалить троян можно с помощью бесплатной программы Dr.Web для Mac OS X Light.

CNews

------------------------------------------------------------------
Flashback:
«Доктор Веб» обнаружил ботнет из более чем 550 тыс. «маков»
«Лечилка» «Касперского» удаляла настройки в компьютерах Apple
У Mac OS X появился еще один вирус
«Доктор Веб» исследовала объекты, загружаемые трояном BackDoor.Flashback на зараженные «маки»

Специалисты компании «Доктор Веб» — российского разработчика средств информационной безопасности — продолжают исследования крупномасштабного ботнета, созданного злоумышленниками с использованием троянской программы BackDoor.Flashback для компьютеров, работающих под управлением операционной системы Mac OS X. Одним из предметов наиболее пристального изучения стали объекты, которые троян загружает с принадлежащих злоумышленникам командных серверов и запускает на инфицированном компьютере.

Напомним, что троян BackDoor.Flashback.39, используя уязвимости Java, сохраняет на жесткий диск Apple-совместимого компьютера исполняемый файл и специальный файл, отвечающий за запуск приложения. После этого используется сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить трояна без участия пользователя. Затем BackDoor.Flashback.39 соединяется с управляющим сервером, загружает на инфицированную машину исполняемый файл и устанавливает его в системе. В этот момент троян демонстрирует на экране «мака» диалоговое окно для ввода пароля администратора. Если пользователь указывает этот пароль, вредоносная программа запускается с повышенными привилегиями, однако даже если пароль не будет введен, троян сохраняется в «домашнюю» папку пользователя и запускается с использованием полномочий его учетной записи. Пользовательских прав в операционной системе ему вполне достаточно для того, чтобы реализовать свой вредоносный потенциал, отметили в «Доктор Веб».

В дальнейшем загружаемым на диск вредоносным приложением используется два типа управляющих серверов. Первая категория командных центров реализует функции перехвата поискового трафика, перенаправления пользователя на контролируемые злоумышленниками сайты в процессе веб-серфинга и некоторые другие действия. Вторая группа позволяет отдавать ботам различные команды, реализующие на инфицированной машине функции бэкдора. Специалистам «Доктор Веб» удалось перехватить используемые полезной нагрузкой трояна BackDoor.Flashback домены управляющих серверов и произвести анализ обращений к ним ботов.

Первая категория доменов управляющих серверов генерируется трояном на основе заложенного в его конфигурационных данных списка, в дополнение к ним формируется еще один перечень доменов, имена которых зависят от текущей даты. При этом сформированное вредоносной программой имя домена второго уровня одинаковое, в то время как в качестве домена верхнего уровня используются различные варианты, такие как .org, .com, .co.uk, .cn, .in. Все управляющие серверы опрашиваются трояном по очереди в порядке составленного списка, при этом командному центру передается GET-запрос /owncheck/ или /scheck/, содержащий в поле useragent значение UUID инфицированного «мака». Если в ответ троян получит подписанное значение SHA1 от имени домена, то такой домен будет считаться доверенным и в дальнейшем будет использоваться в качестве командного сервера. Первые домены из этой категории были успешно перехвачены «Доктор Веб» (начиная с 12 апреля 2012 г.).

После того как вредоносная программа определит домен из первой категории, начинается поиск доменов второго типа. На основе заложенного в конфигурационных данных списка бот опрашивает ряд доменов управляющих серверов, передавая им GET-запрос /auupdate/, содержащий в поле useragent подробную информацию об инфицированной системе.

Если управляющий сервер не вернет правильный ответ, троян формирует на основе текущей даты строку, которую использует в качестве хеш-тега для поиска по адресу
Код
http://mobile.twitter.com/searches?q=#<строка>
Например, для даты 13.04.2012 некоторые версии трояна генерируют строку вида «rgdgkpshxeoa» (у иных версий бота строка может отличаться). Если в Twitter удается обнаружить сообщение, содержащее метки bumpbegin и endbump, между которыми содержится адрес управляющего сервера, он будет использован в качестве имени домена, пояснили в «Доктор Веб». Перехват доменов этой категории компания начала 13 апреля, однако уже на следующий день, 14 апреля, зарегистрированная специалистами «Доктор Веб» учетная запись в Twitter была заблокирована.

По данным на 13 апреля 2012 г., на управляющие домены первой группы в течение суток поступило 30 549 запросов с уникальными UUID, на домены второй категории — 28 284 запросов с уникальными UUID за аналогичный промежуток времени. Общее количество запросов с уникальными UUID, отправленных на управляющие серверы полезной нагрузки ботнета BackDoor.Flashback, в период с 12 по 26 апреля 2012 г. составило 95 563, подсчитали специалисты «Доктор Веб».

Другие статистические данные, полученные в результате суточного анализа обращений полезной нагрузки ботнета BackDoor.Flashback к управляющим серверам за 13 апреля 2012 г.:


Распределение запросов по версиям ботов (с уникальными UUID )


Распределение запросов по версии ядра операционной системы

CNews
Страницы: 1
Размер бот-сети BackDoor.Flashback.39 изменился незначительно

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Электронная почта: info@avsoft.ru
Контактная информация

© 2004-2013 Авсофт
Rambler's Top100 Я принимаю Яндекс.Деньги