根据俄罗斯大蜘蛛反病毒软件公司Doctor Web日前进行的一项研究表明,全名为“Trojan BackDoor.Flashback”的木马已经传播感染了数十万台运行Mac X系统的计算机。目前,已经被Trojan BackDoor.Flashback僵尸网络感染的计算机超过了55万台,大部分位于美国和加拿大。这也再一次打破了某些专家吹嘘的Mac OS X系统绝对安全的神话。
用户一般是在被从访问资源重定向到一个虚假的网站或通过流量分配后被backdoor.flashback.39感染。其中包含的JavaScript代码被用来加载含有恶意代码的Java-applet。Dr.WEB公司的病毒分析师发现了大量的网站包含代码。最近发现问题的包括:
godofwar3.rr.nu
ironmanvideo.rr.nu
killaoftime.rr.nu
gangstasparadise.rr.nu
mystreamvideo.rr.nu
bestustreamtv.rr.nu
ustreambesttv.rr.nu
ustreamtvonline.rr.nu
ustream-tv.rr.nu
ustream.rr.nu
根据google在3月底的统计,超过四百万的网页上包含此类代码。此外,一些苹果用户的论坛上有发现在访问dlink.com时被backdoor.flashback.39所感染。
在2012年2月,攻击者开始利用cve-2011-3544和cve-2008-5353漏洞传播恶意软件。3月16日后,他们换了另一个方式 (cve-2012-0507)。该漏洞被苹果公司关闭的时间是2012年4月3日。
该病毒将一个可执行的文件保存到被感染的苹果计算机的硬盘,此文件是用来从远程服务器下载恶意的有效载荷并启动它。Doctor Web公司发现了两个版本的特洛伊木马。攻击者在4月1日左右开始使用修改版的backdoor.flashback.39,与旧的版本类似,该恶意软件 启动后会首先搜索硬盘的下列组件:
/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app
如果文件没有找到,该木马使用一种特殊的程序生成一个控制服务器的列表,发送一个安装成功的通知到闯入者的数据服务器,同时发送连续的查询给控制服务器。
应该明确的是,该恶意软件使用一个非常特殊的程序生成此类地址,它还也可以在多个服务器间保持负载均衡。从控制服务器收到响应 后,backdoor.flashback.39验证其签名,如果成功,主程序将被下载到受感染的机器并运行。它可以运行从服务器接收到的任何可执行文件中指定的指令。
每个僵尸包含一个被感染机器的唯一标识,在发送到控制服务器的查询字符串中。Doctor Web公司的病毒分析师通过天坑技术将僵尸网络流量重定向到指定的服务器,从而能够准确统计出受感染的主机数目。
4月4日,超过550000台运行Mac OS的计算机被感染,成为了僵尸网络的一部分。这些还只是通过特定BackDoor.Flashback所建立的僵尸网络的一段。大多数被感染的电脑位于美国(56.6%,或303449的受感染的主机),加拿大次之(19.8%,或106379个受感染的电脑),第三位是英国(12.8%或 68577例感染),澳大利亚6.1%(32527的受感染的主机)是第四。
Doctor Web公司推荐苹果的用户从网站下载并安装安全更新发布—support.apple.com/kb/ht5228,防止被backdoor.flashback.39感染系统。
