07.04.2012, 06:06
Na wielu portalach informacyjnych i IT w ciągu ostatnich dni pojawiła się informacja o potężnej infekcji trojanem/botnetem Flashbackna systemach OS X Mac, którą wstępnie oszacowano na ok.pół miliona zarażonych maszyn...takie doniesienia ogłosił analityk firmy Dr. Web Ivan Sorokin na Twitterze.Niedawno następna firma - Kaspersky Lab - dorzuciła swoje "trzy grosze" informując, że wg jej danych infekcja dotyczy już ponad 600 tysięcy komputerówi nie są to dane szacunkowe, ale konkretne i unikalne adresy którymi dysponuje. Kaspersky wykrywa to zagrożenie jako Trojan-Downloader.OSX.Flashfake.ab. , inne nazwy to Exploit:Java/Flashback.I, Trojan-Downloader:OSX/Flashback.I, Trojan:OSX/Flashback.I, Backdoor:OSX/Flashback.I .
Flashback nie jest czymś całkiem nowym...jego poprzednia wersja bazowała na fałszywym pliku instalacyjnym wtyczki Adobe Flash Playera, ale jego obecna odmiana bazuje tym razem na fałszywym aplecie Javy na zainfekowanej stronie, a potem dopiero na pseudo aktualizacji Adobe Flahs Player
Źródło cytatu
Aple opublikowało już odpowiednia łatki, które można znaleźć
Flashback nie jest czymś całkiem nowym...jego poprzednia wersja bazowała na fałszywym pliku instalacyjnym wtyczki Adobe Flash Playera, ale jego obecna odmiana bazuje tym razem na fałszywym aplecie Javy na zainfekowanej stronie, a potem dopiero na pseudo aktualizacji Adobe Flahs Player
Cytat: It is being distributed via infected websites as a Java applet that pretends to be an update for the Adobe Flash Player. The Java applet then executes the first stage downloader that subsequently downloads and installs the main component of the Trojan. The main component is a Trojan-Downloader that continuously connects to one of its command-and-control (C&C) servers and waits for new components to download and execute.
(...)
We reverse engineered the first domain generation algorithm and used the current date, 06.04.2012, to generate and register a domain name, "krymbrjasnof.com". After domain registration, we were able to log requests from the bots. Since every request from the bot contains its unique hardware UUID, we were able to calculate the number of active bots. Our logs indicate that a total of 600 000+ unique botsconnected to our server in less than 24 hours. They used a total of 620 000+ external IP addresses.More than 50% of the bots connected from the United States.
[Aby zobaczyć linki, zarejestruj się tutaj]
Geographical distribution of active Flashfake bots
[Aby zobaczyć linki, zarejestruj się tutaj]
We cannot confirm nor deny that all of the bots that connected to our server were running Mac OS X. The bots can be only identified by a unique variable in their User-Agent HTTP header named “id”, the rest of the User-Agent is statically controlled by the Trojan. See example below:
"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:2; id:9D66B9CD-0000-5BCF-0000-000004BD266A) Gecko/20100101 Firefox/9.0.1"
We have used passive OS fingerprinting techniques to get a rough estimation. More than 98% of incoming network packets were most likely sent from Mac OS X hosts. Although this technique is based on heuristics and can’t be completely trusted, it can be used for making order-of-magnitude estimates. So, it is very likely that most of the machines running the Flashfake bot are Macs.
Approximate distribution of OSes used to connect to our server
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło cytatu
[Aby zobaczyć linki, zarejestruj się tutaj]
Aple opublikowało już odpowiednia łatki, które można znaleźć
[Aby zobaczyć linki, zarejestruj się tutaj]
Natomiast F-secure stworzyło[Aby zobaczyć linki, zarejestruj się tutaj]
wykrywania i usuwania malware
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"