«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков» - Страница 2 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Recommended Posts

rkhunter

Интересно, кто-нибудь еще может подтвердить эту информацию про ботнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Интересно, кто-нибудь еще может подтвердить эту информацию про ботнет.

f-secure, drweb, kaspersky ... этого недостаточно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Практический вопрос. Утилиты есть какие-то для удаления этого вредоноса?

Вариант скачать и поставить продукт Х себе не подходит. Думаю, что многих хотелось бы тулзень, потому как этот кейс восприниматься будет все равно как единичный.

Наверно, вот это:

http://news.drweb.com/show/?i=1922&lng=ru&c=5

http://itunes.apple.com/us/app/dr.web-ligh...471859438?mt=12

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
f-secure, drweb, kaspersky ... этого недостаточно?

Лучше спросить у человека, а чье потверждение он хочет увидеть :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
f-secure, drweb, kaspersky ... этого недостаточно?

f-secure ничего еще не считал, они просто перепечатывают тексты и твиты Веба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По закону жанра скоро выйдут прес-релизы Symantec и Eset о том же самом, но со словами, что первыми на самом деле были они. Ну а потом G DATA расскажет как опасно иметь Mac :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
f-secure ничего еще не считал, они просто перепечатывают тексты и твиты Веба.

Угу. Пока все опять строится на одних эмоциях.

Мне честно говоря вся эта ситуация опять кажется странной.

С одной стороны хорошо известный нам Доктор. С другой, какие-то зараженные Маки в Купертино. Вроде бы все началось с этого твита Микко Хиппонену, который стали очень быстро цитировать во всех изданиях, даже zdnet не удержался (Райан по-моему).

Везде фигурирует одно и то же: этот твит и информация из скудного пресс-релиза. Дело на самом деле приняло нешуточный оборот, по сути...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
расскажет как опасно иметь Mac :)

Запасаемся попкорном

СМИ начнут писать страшилки о МАКах

маководы начнут бушевать (с набросом органики на вентилятор)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

проблема в том, что мы не можем с 100% уверенностью сказать, что все эти 500к ботов - это именно машины под Мак. На самом деле там могут быть Windows-тачки зараженные windows-вариантом бота (я не знаю существует ли такой вообще, но почему бы и нет?).

Доктор Веб же в свою очередь тут категоричен - это Маки. Не пойму как они это узнали - бот на синкхоле передает только свой айдишник, без платформы и мак-адреса.

В их статистике мне кое-что кажется не в пользу этой теории - потому что там например более 400 ботов из какой-то деревни в Алабаме и всего 100 - из Амстердама.

Так вообще бывает ? https://twitter.com/#!/codelancer/statu...012576326680576

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Они были первыми :rolleyes:

___.jpg

post-6726-1333709399_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Запасаемся попкорном

СМИ начнут писать страшилки о МАКах

А СМИ постоянно пишут УГ страшилки, иногда это обостряется, как понос, что видно сейчас или например год, или два назад, такое обострение было про фейки. :facepalm:

Кстати, выше правильно замечено, из 500к, даже если допустить, что это зараженные маки, на каждом втором,третьем параллельно может стоять Винда. Для этого на Маке существует Boot Camp :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
там например более 400 ботов из какой-то деревни в Алабаме и всего 100 - из Амстердама.

Так вообще бывает ? https://twitter.com/#!/codelancer/statu...012576326680576

А почему бы и не учесть региональный таргетинг при заражении - на Штаты, например?

Что касается бывшей столицы Алабамы... Ну и что? Это не местные Мытищи, там может быть конгресс друидов-маководов :)

Tuscaloosa is the regional center of industry, commerce, healthcare, and education for the area of west-central Alabama known as West Alabama. Tuscaloosa is also the home of the University of Alabama, Stillman College and Shelton State Community College. While the city attracted international attention when Mercedes-Benz announced it would build its first automotive assembly plant in North America in Tuscaloosa County, the University of Alabama remains the dominant economic and cultural engine in the city.

The city has received many quality-of-life accolades. It was named one of the "50 Best Places to Launch a Small Business" in 2009 by Fortune Small Business,[7] and one of the "100 Best Communities for Young People" by America’s Promise Alliance.[8][9] It was named "The Most Liveable City in America" in 2011 by the U.S. Conference of Mayors.[10]

via http://en.wikipedia.org/wiki/Tuscaloosa,_Alabama

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

там таких "деревень" с аномальным числом "мак-жертв" слишком много, имхо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Давайте считать. Если взять данные про продажам Apple, то в квартал они продают где-то под миллион настольных машин и 1,3 млн ноутбуков. В сумме 2.3 млн в квартал.

Всего в сети около 9% юзеров с MacOS

http://www.w3schools.com/browsers/browsers_os.asp

Всего в инете около 2,2 млрд юзеров

http://www.internetworldstats.com/stats.htm

Итого имеем около 20 млн. компьютеров на Mac OC в мире. Это без учета, что у кого-то может быть несколько компьютеров сразу, т.е. ее можно поправить на коэф. 1.5х смело, а то и на 2х.

Бот-сеть в 550к означает, что заражено 2.5% всего парка машин на Mac OC. Неплохо, неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Итого имеем около 20 млн. компьютеров на Mac OC в мире. Это без учета, что у кого-то может быть несколько компьютеров сразу, т.е. ее можно поправить на коэф. 1.5х смело, а то и на 2х.

их 45 млн вообще-то

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Касательно заражений "деревень" - не вижу пока причины не верить. Таргетированно по US & Canada прошлись, а IP могут быть приписаны к местным админ. центрам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Касательно заражений "деревень" - не вижу пока причины не верить. Таргетированно по US & Canada прошлись, а IP могут быть приписаны к местным админ. центрам.

Так и вижу заголовок на цньезе - "От вируса для MacOS полегли целые американские деревни" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Касательно заражений "деревень" - не вижу пока причины не верить. Таргетированно по US & Canada прошлись, а IP могут быть приписаны к местным админ. центрам.

Так почему в алабамской деревне больше жертв чем в Купертино ? :)

В общем мы продолжаем проверять. Есть два вопроса всего:

1. Существует ли ботнет из более чем 500к машин ?

- ответ: да, мы это подтверждаем

2. Все ли эти 500к являются маками ?

- ответ: пока не знаем, поэтому ни подтвердить ни опровергнуть не можем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
treme
На самом деле там могут быть Windows-тачки зараженные windows-вариантом бота (я не знаю существует ли такой вообще, но почему бы и нет?).
2. Все ли эти 500к являются маками ?

- ответ: пока не знаем, поэтому ни подтвердить ни опровергнуть не можем.

Хм. Любопытные детали.

Почему, имея маковскиие тела, антивирусные компании не нашли виндовых тел этого трояна, особенно если предположить что их много в процентах от 600.000?

А какого размера может (должен) быть ботнет, чтобы его никто не видел и не знал?

5-10-50-100 тысяч машин, миллион? Может же быть некое критическое число когда не заметить ботнет невозможно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Заметить можно и тела может быть виндовые есть. Но если бы новость подали как просто боты, а не маки, она бы не получила такого резонанса.

Я поначалу не поверил...Но сейчас постепенно информация действительно подтверждается и если количество маков окажется абсолютно подавляющим (скорее всего так и есть), то это наверное будет настоящая новость-сенсация.

Вот такой вот Доктор Веб, вернее их вирлаб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Вот такой вот Доктор Веб, вернее их вирлаб.

По-любому молодцы! Эта новость, есть все подтвердится можно сломать привычное восприятие MacOS как безопасной среды и ненужность антивирусов для нее. Особенно если найти еще что-то такое, потому как все можно списать на единичный случай.

Кстати очень рекомендую копнуть трояна, расписать четко и во всех деталях для домохозяек и французских бабушек, что же именно он ворует на MacOS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
По-любому молодцы! Эта новость, есть все подтвердится можно сломать привычное восприятие MacOS как безопасной среды и ненужность антивирусов для нее.

Более того, компания которая всегда была известна как разработчик решений для Windows. И вдруг открывает буквально всему миру первый крупный Mac-ботнет. Тут ломаются все стереотипы, которые только могут быть...

Вот собственно, очередная новость, только вроде вышла http://news.cnet.com/8301-13579_3-57410476...-a-big-problem/

The Flashback virus has inflected more than 600,000 Macs. These Mac users didn't fall prey to snazzy social engineering or any real work at all. Russian antivirus company Dr. Web noted that Flashback exploited a security hole in Java to silently attack Mac OS X systems. Flashback was discovered in September 2011 as a fake Adobe Flash Player and has morphed into attacking Java. Apple has been belatedly patching Java.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Кстати очень рекомендую копнуть трояна, расписать четко и во всех деталях для домохозяек и французских бабушек, что же именно он ворует на MacOS.

ничего он не ворует

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
ничего он не ворует

Забавно :) Тогда чего он делает?

распространения троянской программы BackDoor.Flashback

Мне всегда казалось, что этот термин достаточно однозначный. Или это добрый троян? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Забавно :) Тогда чего он делает?

доунлоадит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×