Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > "Доктор Веб" раскрыл первый в истории масштабный ботнет для Mac OS X

"Доктор Веб" раскрыл первый в истории масштабный ботнет для Mac OS X

Пятница, 4 мая 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В начале апреля 2012 года специалисты компании "Доктор Веб" обнаружили первую в истории масштабную бот-сеть, состоящую из компьютеров, работающих под управлением операционной системы Mac OS X. Она была создана с использованием вредоносной программы BackDoor.Flashback.39. Чуть позже компания объявила об установлении контроля над ботнетом Win32.Rmnet.12, численность которого превысила 1 млн инфицированных компьютеров.

Еще в конце марта "Доктор Веб" стал получать сообщения о том, что преступники активно используют известные уязвимости Java с целью распространения вредоносных программ для Mac OS X. BackDoor.Flashback.39, как и многие другие подобные ей программы, имеет встроенный алгоритм подбора доменных имен, которые впоследствии используются троянцем в качестве управляющих серверов. Такой подход, во-первых, позволяет значительно увеличить "живучесть" сети, а во-вторых, оперативно перераспределять нагрузку между командными центрами, если создаваемый ботами трафик превысит некие критические значения. С другой стороны, это дает возможность специалистам по информационной безопасности вычислить используемый троянцем метод выбора управляющих центров и создать поддельный командный сервер с целью собрать необходимую статистику или даже перехватить управление сетью. Данный подход носит наименование "sinkhole" и широко используется в антивирусной практике.

Для того чтобы заразиться троянской программой, в операционной системе должна быть установлена Java и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет - специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя.

Большая часть заражений пришлась на долю США (56,6% инфицированных узлов). На втором месте расположилась Канада (19,8%), на третьем - Великобритания (12,8%), на четвертом - Австралия (6,1%).

4 апреля Apple выпустила обновление Java, закрывающее используемую троянцем BackDoor.Flashback уязвимость, однако если компьютер уже был инфицирован ранее, установка обновления не защищала пользователя от действия вредоносной программы. Вскоре количество зараженных устройств превысило 800 000.

По заявлению компании "Доктор Веб", одно из лидирующих мест среди угроз, заражающих рабочие станции под управлением Microsoft Windows, сегодня занимает файловый вирус Win32.Rmnet.12. Его распространение происходит несколькими путями, в частности, с использованием уязвимостей браузеров, позволяющих сохранять и запускать исполняемые файлы при открытии веб-страниц. Вирус выполняет поиск всех хранящихся на дисках файлов html и добавляет в них код на языке VBScript. Помимо этого, Win32.Rmnet.12 инфицирует все обнаруженные на дисках исполняемые файлы с расширением .exe и умеет копировать себя на съемные флеш-накопители, сохраняя в корневую папку файл автозапуска и ярлык, ссылающийся на вредоносное приложение, которое в свою очередь запускает вирус.

Наибольшее количество зараженных ПК приходится на долю Индонезии (27,12%). На втором месте находится Бангладеш (14,08%), на третьем - Вьетнам (13,08%). Далее следуют Индия (7,05%), Пакистан (3,9%), Россия (3,6%), Египет (2,8%), Нигерия (2,3%), Непал (2,3%) и Иран (2,0%).

В середине апреля в антивирусную лабораторию "Доктор Веб" стали поступать сообщения от иностранных пользователей, пострадавших в результате действия троянцев-энкодеров и прежде всего вредоносной программы Trojan.Encoder.94. Как и другие представители данного семейства шифровальщиков, троянец отыскивает на дисках инфицированного компьютера пользовательские файлы, в частности, документы Microsoft Office, музыку, фотографии, картинки и архивы, после чего шифрует их. Зашифровав пользовательские файлы, троянец выводит на экран сообщение, требующее выплатить злоумышленникам сумму в размере 50 евро или фунтов стерлингов с помощью платежных систем Ukash или Paysafecard.

Троянец имеет англоязычный интерфейс, но случаи заражения уже были зафиксированы в Германии, Италии, Испании, Англии, Польше, Австрии, Норвегии, Болгарии и некоторых других странах. Тревожные сообщения поступали и от жителей Бразилии, Аргентины, других государств Латинской Америки. География заражений троянцем охватила практически всю Европу, включая такие страны, как Хорватия, Швейцария, Нидерланды, Словения и Бельгия, Франция, Венгрия и Румыния.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 340
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

13: 41
Если надоел треш в App Store, иди и исправь все сам |
13: 21
Incharp — беспроводные зарядные устройства для установки в общественных заведениях |
13: 21
В России подешевели AirPods. И заказавших это коснётся |
13: 01
Новая линейка драйверов и эталонная реализация EGL/Wayland от Nvidia |
12: 41
Акции Apple выросли до максимального значения с 2015 года |
12: 41
Как поменять аккумулятор в автомобиле своими руками? |
12: 41
Патент недели: платформа-ледокол |
12: 41
Контрольная «Выходи решать!»: участники могут пройти пробный тест |
12: 21
«Коммерсантъ»: Банки попросят ЦБ не вводить обязательство по переводу средств бюджетников на карты «Мир» |
12: 21
Twitter продаёт платформу Fabric компании Google |
12: 01
Питч-презентация Theranos для инвесторов в 2006 году: целевой рынок и преимущества перед конкурентами |
12: 01
Экс-представитель Twitter в России Алексей Шелестенко объявил о переходе на пост главы российского Tinder |
11: 41
Nokia 6 раскупили буквально за минуту в первый день продаж |
11: 41
Вице-президента Samsung не стали арестовывать |
11: 41
Что происходит на краю Вселенной? |
11: 21
Анонс смартфона LG G6 назначен на 26 февраля 2017 |
11: 21
Компания Oracle опубликовала план разработки Solaris и SPARC |
11: 21
Несколько сотрудников Huawei обвиняются в передаче данных компании LeEco |
10: 41
Гоночная версия Tesla Model S стала быстрее |
10: 21
Что такое Bootloader и для чего он служит |
10: 21
«Только в первый час мы собрали более 700 тысяч рублей» — Как издательство настольных игр Crowd Games проводит самую успешную краудфандинговую кампанию в истории Boomstarter |
10: 21
Проект Mozilla представил новый логотип |
10: 01
Caviar выпустила серию смартфонов Huawei P9 Russia и China Friendship Edition |
10: 01
Южнокорейский суд не выдал разрешение на арест руководителя Samsung |
09: 41
Автомобили экстренных служб смогут перебивать музыку |
08: 41
В рамках коллективного иска от Apple требуют внедрения функции блокировки отправки текстовых сообщений во время вождения |
08: 21
Новый стилус Apple Pencil научат примагничиваться к корпусу планшета для транспортировки |
08: 21
Что случилось 18.01.2017? |
08: 21
Apple Pencil 2 будет крепиться к iPad на магнитах |
08: 21
PulseAudio 10.0 |
08: 01
В Telegram появятся аудиозвонки |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003