AM_Bot

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

В этой теме 143 сообщений

hosting.jpgСпециалисты компании «Доктор Веб» провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

Интересно только, как это удалось раскопать Докторам первым?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно только, как это удалось раскопать Докторам первым?

Думаете можно получить ответ на этот вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

не совсем понятно: он ставится и работает тихо или требует от пользователя подтверждения прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

Интересно только, как это удалось раскопать Докторам первым?

Может потому что они одни из немногих, кто реально помогает бесплатно своим пользователям излечиться от угроз. ВБА таким образом у своего дистрибьютора нашли Stuxnet

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мне кажется, что в последних новостях "доктора" по вирусам очень часто стало сквозить сталинское - это мы все равно первые сделали! И радио имени Попова, и лампочка Яблочкова, и самолет Можайского...Нет своих пророков - найдем и присвоим.... Смутно вспоминаются волны имени Скимера, который был прислан особо сознательным банкоматом прямо в вирлаб.... :D При том сразу в десятках реинкарнаций!

А простой поиск на момент опубликования "волны" показал, что Макафи его уже давно добавила.... И Софос.... И Симантек....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
мне кажется, что в последних новостях "доктора" по вирусам очень часто стало сквозить сталинское - это мы все равно первые сделали! И радио имени Попова, и лампочка Яблочкова, и самолет Можайского...Нет своих пророков - найдем и присвоим.... Смутно вспоминаются волны имени Скимера, который был прислан особо сознательным банкоматом прямо в вирлаб.... :D При том сразу в десятках реинкарнаций!

А простой поиск на момент опубликования "волны" показал, что Макафи его уже давно добавила.... И Софос.... И Симантек....

Нет, тут ситуация все же иная. Настолько мне она представляется:

Дело в том, что этот флешбек генерирует кучу доменных имен внутри себя, перебирая их до тех пор пока не наткнется на настоящий C2. Способ давно известный и широко примененный еще в Kido, например.

ДрВеб взял сампл (о котором знали все), погонял его, получил список "возможных" доменов и зарегистрировал одно из этих имен на себя. В результате все боты "отстучались" туда и оставили о себе инфу, которую мы и видим в пресс-релизе. После чего - пошли "стучаться" дальше.

Это я к тому, чтобы вы понимали разницу между подсчетом количества ботов в ботнете - и перехвате ботнета на себя. Увы, с Флешбеком такой перехват у Веба не получится, потому что удержать боты можно только обладая второй частью RSA-ключа. А вот посчитать кто угодно может да, но Веб сделал это первым.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

550 000. Хорошая цифра для пиара.

Вот бы такую бот-сеть из iOS-ок, что привело бы к открытию необходимой инфы для антивирусных вендоров - вообще было бы замечательно.

Ибо айпадов продаётся раза 2 больше, чем маков, а айфонов - раза в 4.

Не думаю, что там принципиально ситуация с безопасностью лучше. Разве что приложения только из AppStore можно ставить. Но многие пользователи джейлбрейкают, тем не менее, как и андроидоюзеры "рутуют" свои игрушки. Да, это неправильно с т.зр. инфобезопасности, но таких юзеров много. На Андроиде вредоносы используют в своих целях дополнительные возможности "рутованных" телефонов, джейлбрейкнутые айфоны ничем в этом плане не лучше. Рынок для антивирусов обеспечен, но... официальная позиция эппл несколько смущает.

Речь же не о том, чтобы разрешить ставить всё без разбора. Но для антивирусных вендоров можно же сделать исключение. Возможно, для пяткА тех, которым доверяет, а процедуру регистрации в качестве антивирусного вендора для эппла сделать потом формально возможной, но весьма сложной. При этом взять подписку о неразглашении. А за разглашение - выгонять из списка :) Вот и почва для новостей про вендоров, утративших доверие :)

В общем, непонятно, чего тормозят :) Столько возможностей для пиара упускают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Бедные" финны :lol:https://twitter.com/#!/hexminer/status/...623741273026562 А вообще бот-центр в Купертино, я так и подозревал. :lol:

Сорокину респект. Вепу надо почаще открывать ботнеты, на очереди Линупс :D

Давно я так не веселился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

что там в твите, посмотреть не могу, а интересно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
что там в твите, посмотреть не могу, а интересно
@mikko, at this moment botnet Flashback over 600k, include 274 bots from Cupertino and special for you Mikko - 285 from Finland

@mikko = Mikko Hypponen

Запись от 4 апреля 12 в 22:32, если это имеет значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Интересно, где в рашке наибольшее скопление ботов? В Сколково небось :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно, где в рашке наибольшее скопление ботов? В Сколково небось :)

А ты думаешь из-за чего у Медведева на айфоне время не перевелось, и он решил отменить переход на зимнее время? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Интересно, где в рашке наибольшее скопление ботов?

В Докторе... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Давно я так не веселился :)

it doesn’t require any user intervention if Java has not been patched on your Mac: all you have to do is visit a malicious website, and the malware will be automatically downloaded and installed.

http://www.zdnet.com/blog/security/over-60...345?tag=nl.e539

в чем повод для веселья?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
it doesn’t require any user intervention if Java has not been patched on your Mac: all you have to do is visit a malicious website, and the malware will be automatically downloaded and installed.

http://www.zdnet.com/blog/security/over-60...345?tag=nl.e539

в чем повод для веселья?

Only after downloading the payload does Flashback.I proceed with infecting the machine. To do so, the malware prompts for the administrator password ;)

trojan-downloader_osx_flashback_i_passwordprompt.jpg

Еще раз респект Вепу :lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

sda

там еще есть

Infection Type 2

In cases where the user did not input their administrator password

...

This in effect will inject binary2 into every application launched by the infected user

мне правда интересно было увидеть, как приложения от MS защищают от вирусного заражения :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Only after downloading the payload does Flashback.I proceed with infecting the machine. To do so, the malware prompts for the administrator password ;)

trojan-downloader_osx_flashback_i_passwordprompt.jpg

Еще раз респект Вепу :lol::lol:

Где-то тут скрывается респект некоторому количеству непуганных... ээээ... пользователей Mac, которые таки ввели пароль и нажали ОК. MacDefender, видать, в своё время ничему их не научил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Где-то тут скрывается респект некоторому количеству непуганных... ээээ... пользователей Mac, которые таки ввели пароль и нажали ОК. MacDefender, видать, в своё время ничему их не научил.

а чем пользователи мака отличаются от пользователей windows? Последние точно так же разрешают все подряд в UAC :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
а чем пользователи мака отличаются от пользователей windows?

Уже ничем. Опять же -- в некотором их количестве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Практический вопрос. Утилиты есть какие-то для удаления этого вредоноса?

Вариант скачать и поставить продукт Х себе не подходит. Думаю, что многих хотелось бы тулзень, потому как этот кейс восприниматься будет все равно как единичный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы засинкхолили один из доменов и теперь можем официально подтвердить размер ботнета - более 500к ботов.

За последние 8 часов мы засекли 518к уникальных машин с 540к айпи-адресов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS