Specialistai iš kompanijos „Dr. Web“ atliko tyrimą, kuris leido įvertinti „trojos arklio“ BackDoor.Flashback išplitimo mastus. Pastarasis kenkėjas užkrečia kompiuterius, kuriuose veikia operacinė sistema „Mac OS X“.

Šiuo metu kompiuterinių zombių tinkle (botnet) yra daugiau nei 550 000 infekuotų sistemų, didžioji dalis jų yra JAV ir Kanados teritorijose. Užkrėtimas paskutine kenkėjo versija BackDoor. Flashback.39 vyksta per infekuotus tinklalapius ir duomenų srauto paskirstymo sistemas (TDS), nukreipiančias „Mac OS X“ vartotojus į užkrėstus šaltinius.

Užkrėstų tinklalapių buvo aptikta gana daug: visi jie turi programinius JAVA skriptus, kuris užkrauna į vartotojų naršykles specialų JAVA priedą, tuo tarpu šis pasinaudoja aptiktu operacinės sistemos pažeidžiamumu. Įdomu tai, jog „Apple“ vartotojų forumuose yra pranešimų, teigiančių, jog „Trojos arkliu“ BackDoor. Flashback.39 buvo užsikrėsta, apsilankius tinklalapyje dlink.com, tačiau oficialaus kompanijos „D-Link“, kuriai priklauso šis domenas, atsiliepimo kol kas nėra.

Nuo 2012 m. vasario, kibernetiniai nusikaltėliai pradėjo naudoti „Mac OS X“ pažeidžiamumus kodiniais pavadinimais CVE-2011-3544 ir CVE-2008-5353, o po kovo 16 d. pasinaudota šviežia „skyle“ – CVE-2012-0507. Saugumo atnaujinimą šiai spragai ištaisyti „Apple“ išleido tik 2012 m. balandžio 3 d.

Pažeidžiamumą išnaudojantis virusas išsaugo „Mac“ kompiuterio standžiajame diske vykdomąjį failą, kuris skirtas informacijai apie valdymo serverių apkrovą parsisiųsti bei vėlesniam kenkėjiško kodo įvykdymui. Pradėjusi veikti, programa tikrina, ar nėra standžiajame diske šių komponentų:

• /Library/Little Snitch
• /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
• /Applications/VirusBarrier X6.app
• /Applications/iAntiVirus/iAntiVirus.app
• /Applications/avast!.app
• /Applications/ClamXav.app
• /Applications/HTTPScoop.app
• /Applications/Packet Peeper.app

Jei šių failų aptikti nepavyko, „Trojos arklys“ formuoja valdymo serverių sąrašą, nusiunčia pranešimą apie sėkmingą sistemos užkrėtimą, išsiunčia statistinius duomenis ir atlieka komandas suteikiančių centrų „apklausą“.

Ekspertams pavyko „sinkhole“ metodu nukreipti botnet tinklo siunčiamus duomenis į savo serverius, o tai leido preliminariai identifikuoti užkrėstų sistemų skaičių. Buvo apskaičiuota, jog balandžio 4 d. „zombių“ tinkle dalyvavo apie 550 000 infekuotų „Mac“ kompiuterių. Ir tai duomenys tik tų sistemų, kurios infekuotos BackDoor. Flashback.39 viruso versija. Didžioji dalis užkrėstų sistemų yra JAV (56,6 %), antroje vietoje – Kanada (19,8 %,), trečioje – D. Britanija (12,8 %), ketvirtoje – Australija (6,1 %)

Komentarai (15)