You are hereГруппы / Безопасность / ЛК: В ботнет Flashfake входит 600 000 Mac систем
ЛК: В ботнет Flashfake входит 600 000 Mac систем
Исследователи ЛК провели исследование масштабов распространения вируса Flashfake.
Эксперты «Лаборатории Касперского» провели исследование, в ходе которого было подсчитано количество машин, входящих в состав ботнета Flashfake. Вирус Flashfake поражает устройства на базе операционной системы Mac OS X и позволяет владельцам вредоносной программы собирать конфиденциальную информацию пользователя.
Распространение вируса осуществляется через вредоносные web-сайты, содержащие поддельные Java-апплеты, которые выдают себя за обновление Adobe Flash Player. При запуске Java-апплет выполняет загрузчик, который устанавливает компонент дроппера, постоянно осуществляющего соединение с командным сервером и ожидающего команды на загрузку и выполнение дополнительных компонентов.
Таким образом, злоумышленники способны собирать с ботов любую информацию, а также использовать их для осуществления DDoS-атак, или для создания proxy сетей.
Для соединения с командными серверами бот использует доменные имена, генерируемые с помощью двух алгоритмов. Первый алгоритм основан на текущей дате, а второй применяет несколько переменных, хранимых в теле программы в зашифрованном виде. В качестве ключа к шифру используется UUID (уникальный идентификатор компьютера).
Исследователи провели reverse-инжиниринг первого алгоритма генерации доменов и, руководствуясь датой исследования, сгенерировали и зарегистрировали доменное имя krymbrjasnof.com. Это дало экспертам ЛК возможность вести журнал обращений зараженных систем, которые при подключении использовали UUID. В течение 24 часов было зафиксировано свыше 600 000 уникальных хостов, использующих более чем 620 000 внешних IP адресов.
securitylab.ru
Отправить комментарий