Перейти к содержанию
AM_Bot

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Recommended Posts

AM_Bot

hosting.jpgСпециалисты компании «Доктор Веб» провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

Интересно только, как это удалось раскопать Докторам первым?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Интересно только, как это удалось раскопать Докторам первым?

Думаете можно получить ответ на этот вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

не совсем понятно: он ставится и работает тихо или требует от пользователя подтверждения прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

Интересно только, как это удалось раскопать Докторам первым?

Может потому что они одни из немногих, кто реально помогает бесплатно своим пользователям излечиться от угроз. ВБА таким образом у своего дистрибьютора нашли Stuxnet

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

мне кажется, что в последних новостях "доктора" по вирусам очень часто стало сквозить сталинское - это мы все равно первые сделали! И радио имени Попова, и лампочка Яблочкова, и самолет Можайского...Нет своих пророков - найдем и присвоим.... Смутно вспоминаются волны имени Скимера, который был прислан особо сознательным банкоматом прямо в вирлаб.... :D При том сразу в десятках реинкарнаций!

А простой поиск на момент опубликования "волны" показал, что Макафи его уже давно добавила.... И Софос.... И Симантек....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
мне кажется, что в последних новостях "доктора" по вирусам очень часто стало сквозить сталинское - это мы все равно первые сделали! И радио имени Попова, и лампочка Яблочкова, и самолет Можайского...Нет своих пророков - найдем и присвоим.... Смутно вспоминаются волны имени Скимера, который был прислан особо сознательным банкоматом прямо в вирлаб.... :D При том сразу в десятках реинкарнаций!

А простой поиск на момент опубликования "волны" показал, что Макафи его уже давно добавила.... И Софос.... И Симантек....

Нет, тут ситуация все же иная. Настолько мне она представляется:

Дело в том, что этот флешбек генерирует кучу доменных имен внутри себя, перебирая их до тех пор пока не наткнется на настоящий C2. Способ давно известный и широко примененный еще в Kido, например.

ДрВеб взял сампл (о котором знали все), погонял его, получил список "возможных" доменов и зарегистрировал одно из этих имен на себя. В результате все боты "отстучались" туда и оставили о себе инфу, которую мы и видим в пресс-релизе. После чего - пошли "стучаться" дальше.

Это я к тому, чтобы вы понимали разницу между подсчетом количества ботов в ботнете - и перехвате ботнета на себя. Увы, с Флешбеком такой перехват у Веба не получится, потому что удержать боты можно только обладая второй частью RSA-ключа. А вот посчитать кто угодно может да, но Веб сделал это первым.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

550 000. Хорошая цифра для пиара.

Вот бы такую бот-сеть из iOS-ок, что привело бы к открытию необходимой инфы для антивирусных вендоров - вообще было бы замечательно.

Ибо айпадов продаётся раза 2 больше, чем маков, а айфонов - раза в 4.

Не думаю, что там принципиально ситуация с безопасностью лучше. Разве что приложения только из AppStore можно ставить. Но многие пользователи джейлбрейкают, тем не менее, как и андроидоюзеры "рутуют" свои игрушки. Да, это неправильно с т.зр. инфобезопасности, но таких юзеров много. На Андроиде вредоносы используют в своих целях дополнительные возможности "рутованных" телефонов, джейлбрейкнутые айфоны ничем в этом плане не лучше. Рынок для антивирусов обеспечен, но... официальная позиция эппл несколько смущает.

Речь же не о том, чтобы разрешить ставить всё без разбора. Но для антивирусных вендоров можно же сделать исключение. Возможно, для пяткА тех, которым доверяет, а процедуру регистрации в качестве антивирусного вендора для эппла сделать потом формально возможной, но весьма сложной. При этом взять подписку о неразглашении. А за разглашение - выгонять из списка :) Вот и почва для новостей про вендоров, утративших доверие :)

В общем, непонятно, чего тормозят :) Столько возможностей для пиара упускают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

"Бедные" финны :lol:https://twitter.com/#!/hexminer/status/...623741273026562 А вообще бот-центр в Купертино, я так и подозревал. :lol:

Сорокину респект. Вепу надо почаще открывать ботнеты, на очереди Линупс :D

Давно я так не веселился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

что там в твите, посмотреть не могу, а интересно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
что там в твите, посмотреть не могу, а интересно
@mikko, at this moment botnet Flashback over 600k, include 274 bots from Cupertino and special for you Mikko - 285 from Finland

@mikko = Mikko Hypponen

Запись от 4 апреля 12 в 22:32, если это имеет значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересно, где в рашке наибольшее скопление ботов? В Сколково небось :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Интересно, где в рашке наибольшее скопление ботов? В Сколково небось :)

А ты думаешь из-за чего у Медведева на айфоне время не перевелось, и он решил отменить переход на зимнее время? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Интересно, где в рашке наибольшее скопление ботов?

В Докторе... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Давно я так не веселился :)

it doesn’t require any user intervention if Java has not been patched on your Mac: all you have to do is visit a malicious website, and the malware will be automatically downloaded and installed.

http://www.zdnet.com/blog/security/over-60...345?tag=nl.e539

в чем повод для веселья?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
it doesn’t require any user intervention if Java has not been patched on your Mac: all you have to do is visit a malicious website, and the malware will be automatically downloaded and installed.

http://www.zdnet.com/blog/security/over-60...345?tag=nl.e539

в чем повод для веселья?

Only after downloading the payload does Flashback.I proceed with infecting the machine. To do so, the malware prompts for the administrator password ;)

trojan-downloader_osx_flashback_i_passwordprompt.jpg

Еще раз респект Вепу :lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

sda

там еще есть

Infection Type 2

In cases where the user did not input their administrator password

...

This in effect will inject binary2 into every application launched by the infected user

мне правда интересно было увидеть, как приложения от MS защищают от вирусного заражения :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Only after downloading the payload does Flashback.I proceed with infecting the machine. To do so, the malware prompts for the administrator password ;)

trojan-downloader_osx_flashback_i_passwordprompt.jpg

Еще раз респект Вепу :lol::lol:

Где-то тут скрывается респект некоторому количеству непуганных... ээээ... пользователей Mac, которые таки ввели пароль и нажали ОК. MacDefender, видать, в своё время ничему их не научил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Где-то тут скрывается респект некоторому количеству непуганных... ээээ... пользователей Mac, которые таки ввели пароль и нажали ОК. MacDefender, видать, в своё время ничему их не научил.

а чем пользователи мака отличаются от пользователей windows? Последние точно так же разрешают все подряд в UAC :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
а чем пользователи мака отличаются от пользователей windows?

Уже ничем. Опять же -- в некотором их количестве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Практический вопрос. Утилиты есть какие-то для удаления этого вредоноса?

Вариант скачать и поставить продукт Х себе не подходит. Думаю, что многих хотелось бы тулзень, потому как этот кейс восприниматься будет все равно как единичный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Мы засинкхолили один из доменов и теперь можем официально подтвердить размер ботнета - более 500к ботов.

За последние 8 часов мы засекли 518к уникальных машин с 540к айпи-адресов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
×