МОСКВА, 12 апр - ПРАЙМ. Количество компьютеров Mac в ботсети Flashback увеличилось до 662 тысяч единиц, сообщил РИА Новости в четверг представитель пресс-службы российской антивирусной компании "Доктор Веб", впервые обнаружившей ботсеть.
"Доктор Веб" обнаружила ботсеть из 550 тысяч компьютеров Apple 3 апреля. Ботсеть, получившая название Flashback (по названию троянской программы, с помощью которой хакеры заражали компьютеры этой сети), стала самой крупной из всех известных ботсетей из компьютеров Apple. Ранее компьютеры этой компании считались более защищенными от хакерских атак, чем компьютеры на конкурирующей системе Windows. В четверг в беседе с корреспондентом РИА Новости ведущий вирусный аналитик "Доктор Веб" Игорь Здобнов сообщил о возросшем числе компьютеров Mac, зараженных троянцем Flashback.
"Общее число "маков", обнаруженных нашими специалистами за все время наблюдения, составляет 662,7 тысячи единиц", - сообщил РИА Новости Здобнов.
Специалистам "Доктор Веб" удалось обнаружить ботсеть после анализа кода троянца, с помощью которого были заражены компьютеры. Для подсчета размеров ботнета был использован метод sinkhole, суть которого заключается в следующем. BackDoor.Flashback.39, как и многие другие троянские программы, не содержит в себе адресов управляющих серверов, он генерирует их автоматически по специальному алгоритму в виде обычных DNS-имен веб-сайтов.
Благодаря этой технологии злоумышленники могут оперативно зарегистрировать новый управляющий сервер, если антивирусные компании заблокируют существующие, поскольку они знают алгоритм, используемый троянцем для выбора таких имен. К тому же этот метод позволяет вирусописателям оперативно перераспределять нагрузку между несколькими управляющими серверами: при определенном размере ботнета один командный центр может попросту не справиться с управлением сетью. Поэтому троянец последовательно "стучится" на все командные серверы, которые может найти. Специалисты компании "Доктор Веб" проанализировали используемый BackDoor.Flashback.39 алгоритм выбора доменных имен, зарегистрировали несколько из них и установили на этих сайтах собственную управляющую программу.
Цифра 662,7 тысячи – это количество "уникальных отстуков", полученных доменами "Доктор Веб", которое равняется числу зараженных компьютеров. Представитель компании также добавил, что хотя размер ботсети продолжает увеличиваться, количество новых ботов сокращается. Так, например, 3 апреля к подставным доменам компании обратилось 296,1 тысячи новых компьютеров, а к минувшей среде таких набралось только 2,2 тысячи.
Сокращается и ежедневный объем ботов, обращающихся к серверам управления. Например, в среду таких было 278,9 тысячи. Американская антивирусная компания Symantec, сообщившая в четверг о снижении количества активных ботов до 270 тысяч, заявила, что данные цифры свидетельствуют о снижении числа заражений. Однако в "Доктор Веб" не спешат разделять оптимизм коллег, отмечая, что цифра обозначает лишь количество зараженных компьютеров, сообщивших через интернет на серверы управления о своей работоспособности.
Точные размеры ботсети, а также точное количество компьютеров, с которых был удален вредоносный код неизвестны. За период с 3 апреля многие антивирусные компании, среди которых "Лаборатория Касперского", F-Secure и другие выпустили специальные бесплатные программы для поиска и удаления троянца Flashback. Представители компании "Доктор Веб" также отметили, что с момента обнаружения ботсети количество скачиваний бесплатного антивируса компании для Mac из онлайн-магазина Mac App Store серьезно возросло и вывело программу в список наиболее популярных.
Сама компания Apple пообещала в ближайшее время выпустить обновление безопасности, которое удалит вредоносное ПО Flashback.
Остаются неизвестными и цели, для которых злоумышленники создали ботсеть. Однако эксперты сообщают, что Flashback способен менять содержимое некоторых веб-страниц в браузере зараженного компьютера, а также отсылать данные на удаленный сервер и загружать новое вредоносное ПО. Эта комбинация функций, в частности, позволяет злоумышленникам похищать пароли от учетных записей в социальных сетях и системах банковского обслуживания.
Географически большая часть заражений приходится на США (56,6% или 303,4 тысячи инфицированных узлов), на втором месте находится Канада (19,8% или 106,3 тысячи инфицированных компьютеров), третье место занимает Великобритания (12,8%, 68,5 тысячи случаев заражения), на четвертой позиции — Австралия с показателем 6,1% (32,5 тысячи инфицированных узлов). Россия находится в этом списке на одном из последних мест, отметили в компании.
Для облегчения поиска и удаления троянца Flashback компания "Доктор Веб" открыла специальный раздел на своем официальном сайте - "Anti Flashback", - через него пользователи могут выяснить, заражен их компьютер или нет и скачать ПО для его удаления.
Компания "Доктор Веб" основана в 2003 году, является российским разработчиком средств информационной безопасности. Антивирусные продукты под маркой Dr.Web разрабатываются с 1992 года, передает РИА Новости.
