Обнаружен крупный ботнет из компьютеров под Mac OS X

автор: Юрий Ильин  04 апреля 2012

Антивирусная компания выявила очень крупный ботнет, состоящий из более чем полумиллиона компьютеров. Это было бы относительно заурядной новостью, если бы не одно крупное «но»: все заражённые компьютеры работают под управлением операционной системы Mac OS X. Считается, что под «маки» и вирусов-то особо нет. А здесь — целый ботнет, и немаленький.

Вот что сообщили в «Доктор Веб» «Компьютерре»:

Заражение троянцем BackDoor.Flashback осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System — систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносную веб-страницу. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много. Все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.

Список вредоносных сайтов, выявленных «Доктор Веб», выглядит следующим образом:

  • godofwar3.rr.nu
  • ironmanvideo.rr.nu
  • killaoftime.rr.nu
  • gangstasparadise.rr.nu
  • mystreamvideo.rr.nu
  • bestustreamtv.rr.nu
  • ustreambesttv.rr.nu
  • ustreamtvonline.rr.nu
  • ustream-tv.rr.nu
  • ustream.rr.nu

Ботнет довольно-таки свежий: вредоносное ПО, по-видимому, начало распространяться только в феврале этого года. До середины марта использовались уязвимости CVE-2011-3544 и CVE-2008-5353, а позднее — другой эксплойт (CVE-2012-0507), заплату к которому Apple успела выпустить только вчера, 3 апреля.

Эксплойт сохраняет на жёсткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удалённых управляющих серверов и её последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: примерно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жёстком диске следующих компонент:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

Если указанные файлы обнаружить не удалось, то троянец формирует по определённому алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Злоумышленники работали «на совесть»: BackDoor.Flashback использует механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Если от управляющего сервера получен ответ, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA и, в случае успеха, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Подсчитать заражённые компьютеры «Доктор Веб» удалось с помощью всё того же метода Sinkhole, с помощью которого «Лаборатория Касперского» и их партнёры дважды угнали у владельцев ботнета Kelihos их зловредное «детище».

Большинство заражённых компьютеров (более 50 процентов) располагаются в США. На втором месте — Канада, на третьем — Великобритания. Доля заражённых компьютеров в России очень невелика.

Так или иначе, владельцам Mac явно следует озаботиться средствами защиты от сетевой дряни. Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39, специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X как можно скорее загрузить и установить предлагаемое корпорацией Apple обновление безопасности.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
  • Евгений Крестников

    Дойдет очередь и до настольных дистрибутивов Linux. Ну нет в жизни совершенства.

    • Тот самый кот

      Наверняка на линуксах тоже есть ботнетовская малварь, просто у таких ботнетов крайне малая активность.

    • GBump

      А разве сейчас нет троянов под линукс? Троян по-моему под любую даже самую защищенную систему создать можно — от глупости пользователя она не поможет.

    • bliss

      Ботнетосоздателям тяжело на линуксах — линуксы многообразны. Не говоря уже о том, что средний пользователь Линукса гораздо опытнее среднего пользователя венды — а о мак-пользователях вообще как о пользователях говорить стыдно.

      • milder69

        Муйню пишите всякую, Я макюзер вам стыдно говорить обо мне, как о пользователе? Ну ну…

  • Тот самый кот

    Ага в России заражены все два макбука — один у Голубицкого, второй — у Медведева :)

  • luxferre

    достаточно ли просто не включать яву в сафари? или и это включается через эксплойт

  • Дмитрий

    что значит "угнали"? дело, конечно, с виду хорошее, но они что вмешивались в работу персональных компьютеров? или как там в УК сказано?..
    или неуж-то прислали письмо счастья и триальную программу ?

  • Vassiliy

    вранье, как обычно — НИКАКИХ подтверждений.
    В макосе есть встроенный антивирус кстати.
    Никто и никогда не показывал ЖИВОГО макера, пострадавшего от "вируса". Жадные и подлые антивирусники сочиняют эту байду в тщетной надежде поживиться от элиты компьютерного мира.

  • Константин

    Проблема решается снятием одной единственной галочкой в настройках Safari — «Разрешить использовать Java», которая, к стати, по умолчанию в относительно новых маках снята. Эпоха Java апплетов прошла во времена IE6. Сейчас они необходимы только некоторым бизнес приложениям, создателям которых лень переписать старое детище, как нормальное HTML5 веб-приложение.

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2016
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"