Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Главная > Новости бизнеса > Hi-Tech > "Доктор Веб" раскрыл первый в истории масштабный ботнет для Mac OS X

"Доктор Веб" раскрыл первый в истории масштабный ботнет для Mac OS X

Пятница, 4 мая 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В начале апреля 2012 года специалисты компании "Доктор Веб" обнаружили первую в истории масштабную бот-сеть, состоящую из компьютеров, работающих под управлением операционной системы Mac OS X. Она была создана с использованием вредоносной программы BackDoor.Flashback.39. Чуть позже компания объявила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила 1 млн инфицированных компьютеров.

Еще в конце марта "Доктор Веб" стал получать сообщения о том, что преступники активно используют известные уязвимости Java с целью распространения вредоносных программ для Mac OS X. BackDoor.Flashback.39, как и многие другие подобные ей программы, имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются троянцем в качестве управляющих серверов. Такой подход, во-первых, позволяет значительно увеличить "живучесть" сети, а во-вторых, оперативно перераспределять нагрузку между командными центрами, если создаваемый ботами трафик превысит некие критические значения. С другой стороны, это дает возможность специалистам по информационной безопасности вычислить используемый троянцем метод выбора управляющих центров и создать поддельный командный сервер с целью собрать необходимую статистику или даже перехватить управление сетью. Данный подход носит наименование "sinkhole" и широко используется в антивирусной практике.

Для того чтобы заразиться троянской программой, в операционной системе должна быть установлена Java и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет - специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя.

Большая часть заражений пришлась на долю США (56,6% инфицированных узлов). На втором месте расположилась Канада (19,8%), на третьем - Великобритания (12,8%), на четвертом - Австралия (6,1%).

4 апреля Apple выпустила обновление Java, закрывающее используемую троянцем BackDoor.Flashback уязвимость, однако если компьютер уже был инфицирован ранее, установка обновления не защищала пользователя от действия вредоносной программы. Вскоре количество зараженных устройств превысило 800 000.

По заявлению компании "Доктор Веб", одно из лидирующих мест среди угроз, заражающих рабочие станции под управлением Microsoft Windows, сегодня занимает файловый вирус Win32.Rmnet.12. Его распространение происходит несколькими путями, в частности, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Наибольшее количество зараженных ПК приходится на долю Индонезии (27,12%). На втором месте находится Бангладеш (14,08%), на третьем - Вьетнам (13,08%). Далее следуют Индия (7,05%), Пакистан (3,9%), Россия (3,6%), Египет (2,8%), Нигерия (2,3%), Непал (2,3%) и Иран (2,0%).

В середине апреля в антивирусную лабораторию "Доктор Веб" стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, троянец отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.

Троянец имеет англоязычный интерфейс, но случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Тревожные сообщения поступали и от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 385
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 20
Смартфон BlackBerry Priv лишился технической поддержки |
18: 20
YouTube могут заблокировать в России |
18: 20
Android 8 выйдет для флагманов Samsung лишь в январе |
17: 20
Как Nissan проверяет качество окраски? |
17: 00
NASA: «Искусственный интеллект обнаружил новую планету» |
17: 00
Умные наушники Vinci 2.0 |
16: 40
Смартфоны 2017 года от Xiaomi, OnePlus и LeEco со скидкой в GearBest |
16: 20
125 рассекреченных записей ядерных взрывов выложили на Youtube |
16: 20
Realfiction покажет на CES 2018 крупнейший в мире дисплей смешанной реальности |
16: 20
Юбилей LEAGOO: скидки до 50% на актуальные фирменные смартфоны |
16: 00
Fast Charge: стильное беспроводное ЗУ для вашего смартфона |
15: 40
Одноклассники запустили платформу для больших публикаций |
15: 00
Прекращена поддержка смартфона BlackBerry Priv |
15: 00
Государственный поисковик «Спутник» доработали на 260 млн рублей |
15: 00
EVGA дает тысячу долларов за видеокарты пятнадцатилетней давности |
14: 40
Ученые объяснили, почему некоторые рыбы-клоуны - скучные |
14: 40
Подарки для биохакеров |
14: 40
Аудитория киберспорта в России: стоит ли заходить на этот рынок |
13: 40
Неандертальцы были гораздо умнее, чем мы думали |
13: 20
В США отменили сетевой нейтралитет |
13: 20
Стала известна дата презентации Samsung Galaxy S9 |
13: 20
Продажей «Кортежа» займутся Sollers и НАМИ |
12: 40
Первый смартфон с оптическим дактилоскопическим датчиком Synaptics покажет Vivo |
12: 20
Новый набор в Школу разработки интерфейсов |
12: 20
Galaxy S9 и S9+ показали со всех сторон на 3D-рендерах |
12: 20
Samsung представит «умную» колонку вместе с Apple HomePod |
12: 20
Пищевые масла: какими они бывают и из чего делаются |
12: 20
10 самых популярных материалов 2017 года о переезде |
12: 20
Выход GNU Guix 0.14 и новой версии GuixSD |
12: 20
Mir 0.29.0 |
12: 20
systemd 236 |
Новости бизнесаСтатьиНоу ХауАналитикаДеньгиБизнес технологииКурс валют
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003