Ботнет на Mac: подробности

в 13:08, , рубрики: kaspersky, kaspersky lab, mac, антивирусы, Блог компании «Лаборатория Касперского», ботнет, вирусы, Вирусы (и антивирусы), информационная безопасность, касперский, лаборатория касперского, метки: , , , , , , ,

Привет!

На днях наши коллеги из компании Dr. Web обнаружили ботнет из более чем 550 тысяч Маков. Ну вот, «опять начинается», скажете вы. Но ведь правда же! На данный момент по миру уже зафиксировано более 670 тыс. зараженных компьютеров, хоть нас, русских пользователей, это пока и не касается особо (см. карту):

image

Но все же мы не преминем еще раз развенчать миф о неприступности платформы, а там, глядишь, и поможем кому-нибудь, поскольку без инструкций по лечению компьютера и бесплатных уроков управления гневом у нас беседы о Маках не обходятся. Итак, для тех, кто в танке, повторяем:

Trojan-Downloader.OSX.Flashfake.ab

Бот распространяется через зараженные вебсайты в виде Java-апплета, выдаваемого за обновление для Adobe Flash Player. Java-апплет запускает на выполнение загрузчик первого уровня, который загружает и устанавливает основной компонент троянской программы. Основной компонент представляет собой троянец-загрузчик, который постоянно соединяется с одним из командных (C&C) серверов и ожидает команд на загрузку и выполнение новых компонентов.

Бот находит свои C&C серверы по доменным именам, которые генерируются с помощью двух алгоритмов. Первый алгоритм основан на текущей дате, второй использует несколько переменных, которые хранятся в теле бота в зашифрованном виде. Шифрование основано на алгоритме RC4 и использует UUID (уникальный идентификатор компьютера) в качестве ключа.

Мы провели обратный инжиниринг первого алгоритма генерации доменов и на основе даты исследования — 06.04.2012 — сгенерировали и зарегистрировали доменное имя krymbrjasnof.com. После регистрации домена мы получили возможность вести журнал обращений от ботов. Поскольку каждый запрос от бота содержит его уникальный аппаратный идентификационный номер (UUID), мы смогли рассчитать число активных ботов. В соответствии с журналом, менее чем за 24 часа с нашим сервером соединились более 600 000 уникальных ботов, которые вместе использовали более 620 000 внешних IP-адресов. Более половины всех ботов соединялись с нашим сервером с территории США.

Итак, в том посте на секьюрлисте мы определили географическое распределение активных ботов Flashfake:

Страна Число активных ботов
США 300917
Канада 94625
Великобритания 47109
Австралия 41600
Франция 7891
Италия 6585
Мексика 5747
Испания 4304
Германия 4021
Япония 3864

Технические детали теперь навсегда останутся в нашей базе.

Лекарство

Теперь мы можем установить, был ли ваш UUID зафиксирован в базе обращений ботов к нашему sinkhole-серверу. Подробная информация о том, как пройти данную проверку, и рекомендации, что необходимо сделать в случае заражения, находится на сайте flashbackcheck.com. Десятки тысяч людей уже воспользовалось нашим микросайтом flashbackcheck.com/, а 2,7% из них обнаружили на своих Маках вредоносное ПО и смогли отправить его нам на анализ.

Пользователи Mac OSX также могут проверить, инфицирован ли их компьютер Flashfake, и удалить вредоносную программу в случае ее наличия, используя специальную бесплатную утилиту «Лаборатории Касперского».

image

10 советов

И конечно же, долгожданные советы для наших дорогих пользователей маков. Вы-то, конечно, все их знаете, зато можете добавить свои, или оспорить, если хотите. Полный текст со скриншотами, где что делается, находится по ссылке: можете дать его почитать не слишком компетентным знакомым или младшему поколению.

1. Для повседневного использования создайте учетную запись без прав администратора
2. Пользуйтесь браузером, имеющим «песочницу» (sandbox) и хорошую репутацию относительно быстрого закрытия брешей в защите
3. Удалите автономную версию Flash Player
4. Решите проблему с Java
5. Запускайте «Обновление программ» и обновляйте компьютер сразу же после выхода патчей
6. Используйте менеджер паролей для противодействия фишинговым атакам
7. Отключайте IPv6, AirPort и Bluetooth, когда они вам не нужны
8. Запустите шифрование всего диска и FileVault (версии MacOS X 10.7 и выше)
9. Обновите Adobe Reader до версии 10 или выше
10. Установите хорошее решение для защиты данных

Если этим постом мы поможем хоть одной заблудшей душе обрести безопасность, то будем считать, что миссия поста выполнена. Хотя возможно, для этого и понадобится репост на Вконтактик ;)

Автор: Kaspersky_Lab

Поделиться

* - обязательные к заполнению поля