Kaspersky: 600 000 Maców zarażonych botnetem Flashfake/Flashback

Laboratoria Kasperskiego, podobnie jak wczesniej Dr. Web, donoszą o wysokim ryzyku zarażenia botnetem komputerów z systemem Mac OS X. Wraz z tą informacją Kaspersky udostępnił stronę do sprawdzenia czy nasz komputer jest bezpieczny oraz narzędzie pozwalające usunąć ewentualną infekcję.

Pogląd, że komputery z systemem Mac OS X są odporne na wirusy i inne szkodniki komputerowe już dawno zyskał rangę mitu, a ostatnie lata rozwiały również ten mit. Od niedawna każdy posiadacz komputera Apple musi brać pod uwagę ryzyko infekcji niepożądanym oprogramowaniem i to nie tylko prostymi aplikacjami jak DNSChanger (podmiana DNSów), ale również wyrafinowanymi szkodnikami, które pozwalają tworzyć sieci botnetowe. Przyczyną infekcji są nie tylko niedociągnięcia w samym systemie, ale również luki istniejące w oprogramowaniu trzecich firm, które bardzo często wykorzystywane jest przez internautów.

Ostatnio dużego rozgłosu nabrała aktywność związana z botnetem Flashfake/Flashback. Jego ofiarą padło ponad 600 tysięcy komputerów. Co najmniej 98% z nich, a być może nawet wszystkie urządzenia, mają zainstalowany właśnie system Mac OS X.

Botnet wykryto dzięki popularnej ostatnio technice inżynierii wstecznej, analizując działanie szkodliwego oprogramowania Flashfake. Podstawiony przez Kaspersky serwer przechwycił komunikację pomiędzy komputerami należącymi do botnetu.

Najbardziej zagrożonym rejonem okazały się Stany Zjednoczone, gdzie zlokalizowano ponad połowę zarażonych maszyn. Jednak nawet w Polsce nie możemy czuć się w pełni bezpieczni. Wystarczy przypomnieć sobie niedawno zlikwidowany botnet Hlux/Kelihos, którego lwia część działała właśnie w Polsce.

Aby przejąć kontrolę nad komputerem, cyberprzestępcy wykorzystali trojana Flashfake (Trojan-Downloader.OSX.Flashfake.ab), który wykorzystuje luki z zabezpieczeniach Javy. Jest on o tyle niebezpieczny, że pobierany był przez użytkowników Maców zupełnie bezwiednie. Wystarczyło odwiedzić zainfekowaną witrynę. Obecnie wspomniany trojan jest nieaktywny, ale nadal jest zainstalowany w setkach tysięcy komputerów Mac i stanowi furtkę dla włamywaczy.

Kaspersky krytykuje przy okazji strategię Apple, które mimo znajomości problemu zwlekało z udostępnieniem już opublikowanej poprawki jako aktualizacji bezpieczeństwa. Odpowiednie pliki są już dostępne do pobrania ze strony wsparcia Apple.

Aby sprawdzić, czy dany komputer z Mac OS X jest zainfekowany, należy skorzystać z witryny flashbackcheck.com. W przypadku pozytywnego wyniku należy skorzystać z narzędzia Kaspersky FlashFake Removal Tool.

AKTUALIZACJA 21.04.2012:

Okazuje się, że botnet Flashback nie chce się poddać działaniom zmierzającym do jego likwidacji. Liczba zainfekowanych komputerów Mac wynosi około 650 tysięcy, a infekcji nadal przybywa. Liczbę tę potwierdził w piątek Liam O Murchu z Symanteca.

Więcej o bezpieczeństwie i infekcjach komputerów:

• mks_vir: ściągnij legendarną aplikację antywirusową - rok za darmo dzięki ArcaBit
• FileMedic: nowy program antywirusowy twórców znanego od lat mks_vir
• Norton Identity Safe: pobierz program pomagający zapamiętać hasła (wersja beta)
• Karty płatnicze zbliżeniowe z RFID lub NFC: proste zabezpieczenie przed kradzieżą danych

Źródło: Kaspersky Lab