zeftera.ru.

Замечен свежий ботнет из ПК Mac

f2b20852

Сетевой червяк,вирус,опасность,вредное На прошедшей неделе организация «Доктор Веб» рассказала об обнаружении ботнета Flashback (Flashfake)

На прошедшей неделе организация «Врач Web» рассказала об обнаружении ботнета Flashback (Flashfake), заключающегося из автомашин с ОС Mac OS X. По сведениям компании, в состав ботнета входит не менее полумиллиона инфицированных ПК Mac.

Сегодня «Корпорация Касперского» отреагировали на это известие разбором нового вида бота — Trojan-Downloader.OSX.Flashfake.ab.

Бот разносится через инфицированные вебсайты в качестве Java-апплета, выдаваемого за восстановление для Adobe Flash Player. Java-апплет пускает на исполнение загрузчик первого значения, который грузит и ставит основной элемент троянской платформы. Основной элемент представляет из себя троянец-загрузчик, который регулярно связывается с одним из командных (C&C) компьютеров и ждет команд на загрузку и исполнение свежих элементов.

Бот находит собственные C&C компьютеры по доменным именам, которые создаются при помощи 2-ух алгоритмов. Первый способ базируется на нынешней дате, 2-й применяет несколько неустойчивых, которые лежат в организме бота в зашифрованном виде. Кодирование базируется на методе RC4 и применяет UUID (эксклюзивный личный номер ПК) в роли ключа.

«Мы провели обратный инжиниринг первого метода генерации доменов и на базе даты изучения — 06.04.2012 — создали и зарегистрировали название сайта krymbrjasnof.com. После регистрации домена мы смогли вести журнал посланий от роботов. Так как любой запрос от бота имеет его эксклюзивный аппаратный идентификационный номер (UUID), мы сумели высчитать количество серьезных роботов. В соответствии с журналом, менее чем за 24 дня с нашим компьютером объединились не менее 600 000 эксклюзивных роботов, которые совместно применяли не менее 620 000 внутренних Ip. Более 50% всех роботов объединялись с нашим компьютером с территории Соединенных Штатов», — рассказали в противовирусной компании.

В «Корпорации Касперского» рассказывают, что не в состоянии ни доказать, ни дезавуировать заявление о том, что все боты, соединившиеся с нашим компьютером, работали под регулированием Mac OS X. Идентификация роботов доступна лишь по эксклюзивному полю «id» в HTTP-заголовке User-Agent, все другое неподвижно ставит троянская платформа. Для принятия примерной оценки эксперты применяли способ passive OS fingerprinting. Не менее чем 98% поступающих сетевых пакетов были, скорее всего, высланы с хостов Mac OS X. Невзирая на то, что данная методика базируется на приближенных способах и приобретенные благодаря ей итоги невозможно думать проверенными, ее применяют для ориентировочной оценки. Так что, весьма возможно, что большинство автомашин, на которых деятелен бот Flashfake, — это ПК Mac.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>