Обнаружен новый вариант вредоносного ПО Flashback

IntegoСпециалисты компании Intego обнаружили новую версию вредоносного программного обеспечения Flashback, предназначенного для операционной системы Mac OS X.

Flashback.S - использует ту же уязвимость в Java, что и ранее найденный образец этого кода, однако работает по несколько иной схеме. Новый вариант не запрашивает у пользователей пароля от системы для инсталляции.

Flashback.S размещает свои файлы в пользовательские файлы в:

  • ~/Library/LaunchAgents/com.java.update.plist
  • ~/.jupdate


Новый троян уничтожает все файлы и папки в

  • /Library/Caches/Java/cache

чтобы уничтожить апплет с зараженного компьютера Mac и затруднить обнаружение в системе.

По данным компании "Доктор Веб", на 20 апреля в сети BackDoor.Flashback.39 зарегистрировано:

  • ботов - 817 879;
  • из них ежесуточно активность проявляют - 550 000 инфицированных машин.


На 16 апреля в бот-сети BackDoor.Flashback.39 было зафиксировано:

  • уникальных IP-адресов - 717 004;
  • уникальных UUID инфицированных Apple-совместимых компьютеров - 595 816.


17 апреля статистика продемонстрировала:

  • уникальных IP - 714 483;
  • уникальных UUID - 582 405.


При этом ежедневно в ботнете BackDoor.Flashback.39 появляются новые инфицированные компьютеры, не зарегистрированные в сети ранее.

Троян Flashback использует сложный алгоритм подбора доменных имен своих управляющих серверов. Имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троян осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь.


Обновлено (25.04.2012 02:41)