ロシアのセキュリティ会社、フラッシュバックの感染率はまだ高いと言います

アップデート:シマンテックの研究者がDr. Webの詳細を確認します。詳細については、記事の最後を参照してください。

先週、シマンテックがフラッシュバックマルウェアの流行が急激に減少したように見える報告書を発表したとき、マックコミュニティは一斉に安堵を呼んだ。

この報告では、シマンテックは4月10日に感染件数が38万件に減少し、4月11日に27万件に減少したと述べた。カスペル​​スキー・ラボでも同様の減少が報告され、感染コンピュータ数は23万7000件に減少した。

しかし、大量のMacが感染したとのニュースを最初に報告したロシアのセキュリティ会社は、シマンテックの監視ツールが間違っていると本日発表した。 Dr. Webによると、感染率が低下しているだけでなく、新しい感染コンピュータも毎日ボットネットに参加し続けているという。

Doctor Webによると、BackDoor.Flashback.39ボットネットに接続されたボットは、817 879個のボットネットが一度にまたは別のマシンで平均550,000台の感染マシンが24時間ベースで制御サーバーと通信します。 4月16日には717004のユニークなIPアドレスと595816のMac UUIDがBackDoor.Flashback.39ボットネットに登録され、4月17日には714 483の固有IPと582405 UUIDが登録されました。同時に、前にBackDoor.Flashback.39ネットワークに登録されていない感染コンピュータが毎日ボットネットに参加します。下のチャートは、BackDoor.Flashback.39ボットネット上のボット数が2012年4月3日から4月19日に変更された様子を示しています。

出典:Dr. Web

このグラフに基づいて、既存のMacがクリーンアップされるため、感染の正味数は徐々に減少しています。しかし、同時に新しい感染症が出​​現しています。ウェブ博士は4月19日現在、ボットネットのメンバーが提示したユニークなIDに基づいて、566,000件の感染したMacが存在すると述べている。

異なる研究者の数字の間に矛盾があるのはなぜですか?

Dr.Webの調査によると、測定されたプロセスは、感染したマシンの観察された動作に基づいて簡単です

BackDoor.Flashback.39は洗練されたルーチンを使用して制御サーバー名を生成します。ドメイン名の大部分はマルウェアリソースに埋め込まれたパラメータを使用して生成され、その他は現在の日付を使用して作成されます。トロイの木馬は、あらかじめ定義された優先順位に従って、連続したクエリをサーバーに送信します。 BackDoor.Flashback.39コマンドサーバーのメインドメインは、4月上旬にDoctor Webによって登録され、ボットは最初に対応するサーバーに要求を送信します。 4月16日に、現在の日付を使用して名前が生成された追加のドメインが登録されました。これらのドメイン名はすべてのBackDoor.Flashback.39の亜種によって使用されているため、追加の制御サーバー名を登録することで、悪意のあるネットワーク上のボット数をより正確に計算できます。

ここまでは順調ですね。しかし、その時点で、未確認の第三者によって管理されている1台のサーバーは、サルキーレンチをデータ収集ルーチンに投げます

しかし、Doctor Webによって制御されているサーバーと通信した後、トロイの木馬は、未確認の第三者によって管理されている74.207.249.7でサーバーに要求を送信します。このサーバーはボットと通信しますが、TCP接続を閉じません。その結果、ボットはスタンバイモードに切り替わり、サーバの応答を待ち、以後のコマンドに応答しなくなります。結果として、他のコマンドセンターと通信することはなく、その多くは情報セキュリティ専門家によって登録されています。これは論争の的になる統計の原因です…

Mac OS X Trojanの新バージョンはJavaではなくWordを狙い、Mac OS Xの新たな標的となるトロイの木馬はユーザーの介入を必要とせず、Appleはフラッシュバック除去ツールをリリースし、感染は270,000に低下し、Flashback Trojanに感染したMacは600,000を超える、 ?あなたは本当にそれを使用して終了することはできますか?

これらの数字が正確であれば、Appleはもっと多くの仕事をするでしょう。これまでのところ、Appleは3つのJavaアップデートをリリースしました。そのうちの最新バージョンは、OS X LionとMac OS X 10.6(Snow Leopard)を実行しているMacからの感染を駆除するように設計されています。しかし、これらの更新は、インストールされている場合にのみ有効であり、セキュリティ研究者はユーザーが更新を避けることに長い間注目してきました。さらに、Macユーザーの約17%、または1,000万人以上の人口は、セキュリティアップデートの対象とならない古いバージョンのOS Xを実行しており、Javaを完全に無効にすることによってのみ保護することができます。

私はシマンテックとカスペルスキーに連絡し、これらの企業からの返信を受けてこの記事を更新します。

更新日:2010年4月20日午後1時35分PDT:ブログの更新で、シマンテックの研究者はDr.

最近のDr. Webブログ記事では、OSX.Flashback.Kのシンクホールの感染数が制限されていることがわかりました。

データセンター:IBMは新しいLinux、Power8、OpenPowerシステム、Cloud、マイケル・デル、EMCの契約を締結した:「何十年にもわたって考えることができる、データセンター、Dellテクノロジーズ・リフトオフ:Dell、EMC、人工知能; Nvidiaは非営利研究のAIスーパーコンピュータを提供

過去24時間の現在の統計では、シンクホールによって185,000のユニバーサルユニークID(UUID)が記録されています。

IPアドレス74.207.249.7に登録されたシンクホールは、フラッシュバック接続がTCPハンドシェイクを決して閉じることがないため、フラッシュバック接続がハングする原因となり、フラッシュバックが後続のドメインにヒットすることを防ぎます。

IBM、新しいLinux、Power8、OpenPowerシステムを発表

マイケル・デルがEMCとの契約を締結した。「数十年後には、

Dell Technologiesがリフトオフする:ここでは、Dell、EMC、エンタープライズビジネスの群れが結合

Nvidiaは非営利の研究のためにAIスーパーコンピュータを提供