«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

[Сергей Ильин 1538]

Ну он же должен что-то доунлоадить, а это что-то ворует или вредит как-то иначе. Если выяснится, что он ничего не устанавливает, а это что-то ничего не ворует это будет фейл. Любите огрызков засмеют всех антивирусных вендоров.

[A. 876]

Ну он же должен что-то доунлоадить, а это что-то ворует или вредит как-то иначе. Если выяснится, что он ничего не устанавливает, а это что-то ничего не ворует это будет фейл. Любите огрызков засмеют всех антивирусных вендоров.

что ему дадут скачать - то и скачает.

читайте же внимательно что DrWeb пишет, они же старались.

P.S. Один из загружаемых файлов, как минимум, является trojan-clicker, с подменой поисковых запросов.

[treme 41]

Да, Dr.Web, похоже, в очередной раз реально молодцы.

И в очередной раз, наверняка, смогут реально просрать весь возможный "пиарный" профит.

Такой вот парадокс.

Но надеюсь, что не смогут.

[A. 876]

В общем мы продолжаем проверять. Есть два вопроса всего:

1. Существует ли ботнет из более чем 500к машин ?

- ответ: да, мы это подтверждаем

2. Все ли эти 500к являются маками ?

- ответ: пока не знаем, поэтому ни подтвердить ни опровергнуть не можем.

Вот теперь у нас есть все ответы. Ну почти.

http://www.securelist.com/en/blog/20819344...otnet_confirmed

P.S. И да, windows bot существует. Шаров "подтвердил"

[treme 41]

они же старались.

A., ну что Вы сегодня сливаете и сливаете.

Вон в теме про андроид Рабиновичу слили левобезответно, здесь тоже.

Учитесь проигрывать, не бабу ведь проиграли. Ну некрасиво это, в очередной раз неожиданно и никто не поймет.

[A. 876]

A., ну что Вы сегодня сливаете и сливаете.

Вон в теме про андроид Рабиновичу слили левобезответно, здесь тоже.

Учитесь проигрывать, не бабу ведь проиграли. Ну некрасиво это, в очередной раз неожиданно и никто не поймет.

У вас паранойя что ли ? Где я хоть что-то плохое про веб сказал в связи с этим ботом ? Закусывайте уже

[K_Mikhail 807]

Ну он же должен что-то доунлоадить

Получив ответ от управляющего сервера, BackDoor.Flashback.39 проверяет наличие в нем трех тегов:##begin####sign####end##Если проверка сообщения по подписи RSA оказывается успешной, загружает и запускает на инфицированной машине полезную нагрузку.

Источник

Ну а там уже что подложат на сервере в качестве "полезной нагрузки".

[rkhunter 150]

Костин Раю - "We used passive OS fingerprinting to confirm the Flashfake botnet victims are mostly MacOS X computers."

[treme 41]

Где я хоть что-то плохое про веб сказал в связи с этим ботом ?

В интонациях?

[A. 876]

Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Flashback Is Not a Trojan Horse; What Is It?

The Flashback malware, which may have infected more than a half-million Macs already, has been getting a lot of attention in the press. But many media are calling it the “Flashback Trojan,” or even a “Trojan virus.” Is it correct to use these terms?

Well, Flashback is not a Trojan horse. While the distinction is, perhaps, not important if you have been infected by this malware, it actually is useful to know.

бла бла бла

читайте дальше сами

[treme 41]

Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Явно, диаволы, а точнее пи...арсы.

Не, они точно, ети самые. Вон как отвлекают от сути вещей.

[Сергей Ильин 1538]

More than 98% of incoming network packets were most likely sent from Mac OS X hosts.

Значит все же MacOS преимуществвенно ..

Зацените как Интего жжот

http://www.intego.com/mac-security-blog/fl...rse-what-is-it/

Flashback Is Not a Trojan Horse; What Is It?

Я в общем тот же вопрос озвучивал выше. Важно узнать что этот загрузчик на самом деле качал. Иначе картина неполная, это не выглядит как реальная опасность. Т.е. все это не говорит об успешности атаки ИМХО, ибо не видно профита. Типичный маковод-дизайнер подумает "ну поставилась какая-то хрень, что с того ... ничего же не пропало ... а значит Мак рулит и будет рулить!"

Кроме того, никто не показал, что этот загрузкик позволяет реально что-то поставить без отдельного запросов к юзеру, т.е. в скрытом режиме. Если он до сих пор ничего не загрузил (следы обратного есть какие-то?), то очевидно есть какие-то проблемы.

[rkhunter 150]

Кроме того, никто не показал, что этот загрузкик позволяет реально что-то поставить без отдельного запросов к юзеру, т.е. в скрытом режиме.

В смысле не показали? Уже расписали CVE-, которые именно для этого и используются, для установки по-тихому.

[A. 876]

Я в общем тот же вопрос озвучивал выше. Важно узнать что этот загрузчик на самом деле качал. Иначе картина неполная, это не выглядит как реальная опасность. Т.е. все это не говорит об успешности атаки ИМХО, ибо не видно профита. Типичный маковод-дизайнер подумает "ну поставилась какая-то хрень, что с того ... ничего же не пропало ... а значит Мак рулит и будет рулить!"

Дубль два (в смысле, я же выше уже сегодня писал - что) :

http://www.forbes.com/sites/andygreenberg/...for-clickfraud/

Schouwenberg says that for now, the hijacked Macs are being used for click fraud, creating Web traffic from the infected machines to boost revenue from pay-per-click and pay-per-impression advertisements. He says there’s no evidence yet that they’re being used for credit card fraud. But like any Trojan, the malware functions as a backdoor on the user’s computer, and can allow new software updates to be downloaded. ”They could easily update what they’re doing in the future,” Schouwenberg says

[rkhunter 150]

Дубль два (в смысле, я же выше уже сегодня писал - что) :

Это уже давно понятно, по-моему еще со вчерашнего дня. Тут другое спрашивают, как он попадает и запускается.

Судя по тому, что пишут, это CVE-, которые, например, используют для пробива эксплойт-паки или какие-либо TDS, перенаправляющие трафик юзера туда, где ему этот CVE попытаются впарить. Короче, скомпрометированные с помощью malicious iframe сайты, по-моему главный источник заразы.

[A. 876]

Это уже давно понятно, по-моему еще со вчерашнего дня. Тут другое спрашивают, как он попадает и запускается.

Судя по тому, что пишут, это CVE-, которые, например, используют для пробива эксплойт-паки или какие-либо TDS, перенаправляющие трафик юзера туда, где ему этот CVE попытаются впарить. Короче, скомпрометированные с помощью malicious iframe сайты, по-моему главный источник заразы.

А это еще 4 дня назад было сказано и вот например эту ссылку я уже тут давал

http://arstechnica.com/apple/news/2012/04/...word-needed.ars

[K_Mikhail 807]

Dr.Web предлагает онлайн-сервис проверки для пользователей Mac на предмет инфицирования BackDoor.Flashback.39.

В качестве теста:

[maxz 5]

Доктор Веб же в свою очередь тут категоричен - это Маки. Не пойму как они это узнали - бот на синкхоле передает только свой айдишник, без платформы и мак-адреса.

We have used passive OS fingerprinting techniques to get a rough estimation. More than 98% of incoming network packets were most likely sent from Mac OS X hosts.

Оказывается и без элементарного понимания TCP/IP вполне можно работать аналитиком. Внезапно.

[Виталий Я. 859]

Так почему в алабамской деревне больше жертв чем в Купертино ?

А вдруг патчи в Эпле ТАКИ заставляют ставить?

[SDA 750]

А вдруг патчи в Эпле ТАКИ заставляют ставить?

http://support.apple.com/kb/ht1338?viewloc...mp;locale=ru_RU

Dr.Web предлагает онлайн-сервис проверки для пользователей Mac на предмет инфицирования BackDoor.Flashback.39.

В качестве теста:

пример работы ручками при наличии моска

Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

ls -la | grep -v ^drwx

Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.

получим вывод:

-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding

-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store

-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority

-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect

-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history

-rw——- 1 paul staff 75 2 мар 11:44 .lesshst

-rw——- 1 paul staff 1117 5 дек 15:39 .php_history

-rw——- 1 paul staff 12288 2 мар 19:44 .swn

-rw——- 1 paul staff 12288 8 ноя 18:22 .swo

-rw——- 1 paul staff 12288 26 окт 13:36 .swp

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

-rw——- 1 root staff 5309 2 апр 11:15 .viminfo

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

Вот это исполнимый файл. (в данном случае имитация вируса)

удаляется из той же командной строки:

rm .mkeeper

[K_Mikhail 807]

пример работы ручками при наличии моска

Если коротко, что в домашнем каталоге пользователя появляется файл – ‘.mkeeper’. Если предположить, что троян не требует пароля администратора, то контрольный .plist должен находиться в каталоге пользователя в /Users//Library/LaunchAgents

Называться может в приципе как угодно, по инфе Др.Веба название процесса – com.zeobit.keep, возможно это будет находиться в имени и файла.

Еще провериться на заразу можно открыв терминал и немного поработать в командной строке:

ls -la | grep -v ^drwx

Т.е. показать файлы, включая скрытые с правами датами и размерами, но не показывать каталоги.

получим вывод:

-rw——- 1 paul staff 4 22 июл 2011 .CFUserTextEncoding

-rw-r–r–@ 1 paul staff 24580 5 апр 22:54 .DS_Store

-rw——- 1 paul staff 0 25 фев 21:08 .Xauthority

-rw-r–r– 1 paul staff 573 4 мар 00:34 .anyconnect

-rw——- 1 paul staff 10659 5 апр 18:27 .bash_history

-rw——- 1 paul staff 75 2 мар 11:44 .lesshst

-rw——- 1 paul staff 1117 5 дек 15:39 .php_history

-rw——- 1 paul staff 12288 2 мар 19:44 .swn

-rw——- 1 paul staff 12288 8 ноя 18:22 .swo

-rw——- 1 paul staff 12288 26 окт 13:36 .swp

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

-rw——- 1 root staff 5309 2 апр 11:15 .viminfo

-rwxr-xr-x 1 paul staff 0 5 апр 23:04 .mkeeper

Вот это исполнимый файл. (в данном случае имитация вируса)

удаляется из той же командной строки:

rm .mkeeper

"Контрреволюционные вещи Вы говорите, Филипп Филиппович..." (с)

[SDA 750]

"Контрреволюционные вещи Вы говорите, Филипп Филиппович..." (с)

Внезапно.. меня позвала Дочь (отдал ей Мак как постоянному пользователю вконтакте, естественно без информации о рутовском пароле). Я чуть кофе не поперхнулся

[Kapral 311]

Я чуть кофе не поперхнулся

Все таки маки вредны для здоровья

[Razboynik 105]

Вообще не удивительно что под "маки" начали появляться зловреды, удивительнее было бы, если бы на "маки" злоумышленники продолжали не обращать внимание.

Да, маководов меньше, но у них более толстые кошельки. Сам комп + операционка маководов = дороже, чем оборудование для винды (простенький комп + многие за винду вообще не платят). А с линуксоидов что взять?

А так как зловреды пишут для обогащения - маководы очень даже не плохая ниша для этих целей.

[Сергей Ильин 1538]

А так как зловреды пишут для обогащения - маководы очень даже не плохая ниша для этих целей.

Ну пока слабенько начали. ОС не блочат, деньги не вымогают, хард не шифруют. Аккуратно начали я бы сказал. Хардкор отложили на потом.