Компания-разработчик антивирусного ПО «Доктор Веб» сообщила об увеличении активности трояна BackDoor.Flashback.39. Главной целью этого вируса являются компьютеры Apple с установленными операционными системами Mac OS X.
Flashback может попасть на компьютер пользователя через веб-сайты (на сегодняшний день, по оценкам некоторых специалистов, их насчитывается около 4 млн.). Инфицированная страница содержит Java-скрипт, который без ведома пользователя загружает в браузер Java-апплет, содержащий эксплойт.
Проникнув на компьютер, троян загружает и сохраняет на диске исполняемый файл. Этот файл в дальнейшем способен загружать различные модули с управляющих серверов и запускать их на выполнение. Кроме этого, троян сканирует систему на предмет установленных антивирусных программ и компонентов безопасности системы, после чего формирует по своему алгоритму перечень управляющих узлов, формирует и направляет на специально созданный сервер со статистикой отчет об успешной установке. После чего, троян начинает опрашивать все командные центры.
При получении команды с управляющего сервера, Flashback запускает на инфицированном компьютере вспомогательные модули, при необходимости загружая их с серверов, которые выполняют необходимые злоумышленникам действия.
Помимо этого, троян передает на управляющие сервера уникальные идентификаторы зараженных ПК. Используя эту особенность, а также метод sinkhole сотрудники «Доктор Веб» смогли подсчитать примерное количество инфицированных систем, перенаправив их трафик на свои серверы.
Полученные результаты шокировали специалистов, по их подсчетам созданная таким образом бот-сеть из «Маков» насчитывает более 550 тыс. компьютеров. При этом учитывалась только именно эта модификация трояна, поэтому судить о реальных размерах этой бот-сети затруднительно. В списке стран «лидирующих» по количеству зараженных компьютеров оказались США (56,6% инфицированных ПК), Канада (19,8%), Англия (12,8%) и Австралия (6,1%).