Антивирусная компания выявила очень крупный ботнет, состоящий из более чем полумиллиона компьютеров. Это было бы относительно заурядной новостью, если бы не одно крупное “но”: все заражённые компьютеры работают под управлением операционной системы Mac OS X. Считается, что под “маки” и вирусов-то особо нет. А здесь – целый ботнет, и немаленький.

Вот что сообщили в “Доктор Веб” “Компьютерре”:

Заражение троянцем BackDoor.Flashback осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System – систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносную веб-страницу. Таких страниц специалистами «Доктор Веб» было выявлено достаточно много. Все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.

Список вредоносных сайтов, выявленных “Доктор Веб”, выглядит следующим образом:

  • godofwar3.rr.nu
  • ironmanvideo.rr.nu
  • killaoftime.rr.nu
  • gangstasparadise.rr.nu
  • mystreamvideo.rr.nu
  • bestustreamtv.rr.nu
  • ustreambesttv.rr.nu
  • ustreamtvonline.rr.nu
  • ustream-tv.rr.nu
  • ustream.rr.nu

Ботнет довольно-таки свежий: вредоносное ПО, по-видимому, начало распространяться только в феврале этого года. До середины марта использовались уязвимости CVE-2011-3544 и CVE-2008-5353, а позднее – другой эксплойт (CVE-2012-0507), заплату к которому Apple успела выпустить только вчера, 3 апреля.

Эксплойт сохраняет на жёсткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удалённых управляющих серверов и её последующего запуска. Специалистами «Доктор Веб» было выявлено две версии троянца: примерно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и в предыдущих версиях, после запуска вредоносная программа проверяет наличие на жёстком диске следующих компонент:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

Если указанные файлы обнаружить не удалось, то троянец формирует по определённому алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Злоумышленники работали “на совесть”: BackDoor.Flashback использует механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому. Если от управляющего сервера получен ответ, BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA и, в случае успеха, загружает и запускает на инфицированной машине полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Подсчитать заражённые компьютеры “Доктор Веб” удалось с помощью всё того же метода Sinkhole, с помощью которого “Лаборатория Касперского” и их партнёры дважды угнали у владельцев ботнета Kelihos их зловредное “детище”.

Большинство заражённых компьютеров (более 50 процентов) располагаются в США. На втором месте – Канада, на третьем – Великобритания. Доля заражённых компьютеров в России очень невелика.

Так или иначе, владельцам Mac явно следует озаботиться средствами защиты от сетевой дряни. Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39, специалисты компании «Доктор Веб» рекомендуют пользователям Mac OS X как можно скорее загрузить и установить предлагаемое корпорацией Apple обновление безопасности.