Перейти к содержанию
AM_Bot

«Доктор Веб» обнаружил ботнет из более чем 550 000 «маков»

Recommended Posts

AM_Bot

hosting.jpgСпециалисты компании «Доктор Веб» провели специальное исследование, позволившее оценить картину распространения троянской программы BackDoor.Flashback, заражающей компьютеры, работающие под управлением операционной системы Mac OS X. Сейчас в ботнете BackDoor.Flashback действует более 550 000 инфицированных рабочих станций, большая часть которых расположена на территории США и Канады. Это в очередной раз опровергает заявления некоторых экспертов об отсутствии угроз для пользователей «маков».

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

Интересно только, как это удалось раскопать Докторам первым?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Интересно только, как это удалось раскопать Докторам первым?

Думаете можно получить ответ на этот вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

не совсем понятно: он ставится и работает тихо или требует от пользователя подтверждения прав?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Новость я думаю многих шокирует. Особенно любителей огрызков, которые так нагло и дерзко были уверены в своей неуязвимости и защищенности.

Интересно только, как это удалось раскопать Докторам первым?

Может потому что они одни из немногих, кто реально помогает бесплатно своим пользователям излечиться от угроз. ВБА таким образом у своего дистрибьютора нашли Stuxnet

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

мне кажется, что в последних новостях "доктора" по вирусам очень часто стало сквозить сталинское - это мы все равно первые сделали! И радио имени Попова, и лампочка Яблочкова, и самолет Можайского...Нет своих пророков - найдем и присвоим.... Смутно вспоминаются волны имени Скимера, который был прислан особо сознательным банкоматом прямо в вирлаб.... :D При том сразу в десятках реинкарнаций!

А простой поиск на момент опубликования "волны" показал, что Макафи его уже давно добавила.... И Софос.... И Симантек....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
мне кажется, что в последних новостях "доктора" по вирусам очень часто стало сквозить сталинское - это мы все равно первые сделали! И радио имени Попова, и лампочка Яблочкова, и самолет Можайского...Нет своих пророков - найдем и присвоим.... Смутно вспоминаются волны имени Скимера, который был прислан особо сознательным банкоматом прямо в вирлаб.... :D При том сразу в десятках реинкарнаций!

А простой поиск на момент опубликования "волны" показал, что Макафи его уже давно добавила.... И Софос.... И Симантек....

Нет, тут ситуация все же иная. Настолько мне она представляется:

Дело в том, что этот флешбек генерирует кучу доменных имен внутри себя, перебирая их до тех пор пока не наткнется на настоящий C2. Способ давно известный и широко примененный еще в Kido, например.

ДрВеб взял сампл (о котором знали все), погонял его, получил список "возможных" доменов и зарегистрировал одно из этих имен на себя. В результате все боты "отстучались" туда и оставили о себе инфу, которую мы и видим в пресс-релизе. После чего - пошли "стучаться" дальше.

Это я к тому, чтобы вы понимали разницу между подсчетом количества ботов в ботнете - и перехвате ботнета на себя. Увы, с Флешбеком такой перехват у Веба не получится, потому что удержать боты можно только обладая второй частью RSA-ключа. А вот посчитать кто угодно может да, но Веб сделал это первым.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

550 000. Хорошая цифра для пиара.

Вот бы такую бот-сеть из iOS-ок, что привело бы к открытию необходимой инфы для антивирусных вендоров - вообще было бы замечательно.

Ибо айпадов продаётся раза 2 больше, чем маков, а айфонов - раза в 4.

Не думаю, что там принципиально ситуация с безопасностью лучше. Разве что приложения только из AppStore можно ставить. Но многие пользователи джейлбрейкают, тем не менее, как и андроидоюзеры "рутуют" свои игрушки. Да, это неправильно с т.зр. инфобезопасности, но таких юзеров много. На Андроиде вредоносы используют в своих целях дополнительные возможности "рутованных" телефонов, джейлбрейкнутые айфоны ничем в этом плане не лучше. Рынок для антивирусов обеспечен, но... официальная позиция эппл несколько смущает.

Речь же не о том, чтобы разрешить ставить всё без разбора. Но для антивирусных вендоров можно же сделать исключение. Возможно, для пяткА тех, которым доверяет, а процедуру регистрации в качестве антивирусного вендора для эппла сделать потом формально возможной, но весьма сложной. При этом взять подписку о неразглашении. А за разглашение - выгонять из списка :) Вот и почва для новостей про вендоров, утративших доверие :)

В общем, непонятно, чего тормозят :) Столько возможностей для пиара упускают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

"Бедные" финны :lol:https://twitter.com/#!/hexminer/status/...623741273026562 А вообще бот-центр в Купертино, я так и подозревал. :lol:

Сорокину респект. Вепу надо почаще открывать ботнеты, на очереди Линупс :D

Давно я так не веселился :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

что там в твите, посмотреть не могу, а интересно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
что там в твите, посмотреть не могу, а интересно
@mikko, at this moment botnet Flashback over 600k, include 274 bots from Cupertino and special for you Mikko - 285 from Finland

@mikko = Mikko Hypponen

Запись от 4 апреля 12 в 22:32, если это имеет значение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Интересно, где в рашке наибольшее скопление ботов? В Сколково небось :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Интересно, где в рашке наибольшее скопление ботов? В Сколково небось :)

А ты думаешь из-за чего у Медведева на айфоне время не перевелось, и он решил отменить переход на зимнее время? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Интересно, где в рашке наибольшее скопление ботов?

В Докторе... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Давно я так не веселился :)

it doesn’t require any user intervention if Java has not been patched on your Mac: all you have to do is visit a malicious website, and the malware will be automatically downloaded and installed.

http://www.zdnet.com/blog/security/over-60...345?tag=nl.e539

в чем повод для веселья?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
it doesn’t require any user intervention if Java has not been patched on your Mac: all you have to do is visit a malicious website, and the malware will be automatically downloaded and installed.

http://www.zdnet.com/blog/security/over-60...345?tag=nl.e539

в чем повод для веселья?

Only after downloading the payload does Flashback.I proceed with infecting the machine. To do so, the malware prompts for the administrator password ;)

trojan-downloader_osx_flashback_i_passwordprompt.jpg

Еще раз респект Вепу :lol::lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator

sda

там еще есть

Infection Type 2

In cases where the user did not input their administrator password

...

This in effect will inject binary2 into every application launched by the infected user

мне правда интересно было увидеть, как приложения от MS защищают от вирусного заражения :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Only after downloading the payload does Flashback.I proceed with infecting the machine. To do so, the malware prompts for the administrator password ;)

trojan-downloader_osx_flashback_i_passwordprompt.jpg

Еще раз респект Вепу :lol::lol:

Где-то тут скрывается респект некоторому количеству непуганных... ээээ... пользователей Mac, которые таки ввели пароль и нажали ОК. MacDefender, видать, в своё время ничему их не научил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Где-то тут скрывается респект некоторому количеству непуганных... ээээ... пользователей Mac, которые таки ввели пароль и нажали ОК. MacDefender, видать, в своё время ничему их не научил.

а чем пользователи мака отличаются от пользователей windows? Последние точно так же разрешают все подряд в UAC :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
а чем пользователи мака отличаются от пользователей windows?

Уже ничем. Опять же -- в некотором их количестве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Практический вопрос. Утилиты есть какие-то для удаления этого вредоноса?

Вариант скачать и поставить продукт Х себе не подходит. Думаю, что многих хотелось бы тулзень, потому как этот кейс восприниматься будет все равно как единичный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Мы засинкхолили один из доменов и теперь можем официально подтвердить размер ботнета - более 500к ботов.

За последние 8 часов мы засекли 518к уникальных машин с 540к айпи-адресов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×