Ботнет на Mac: подробности

    Привет, Хабр!

    На днях наши коллеги из компании Dr. Web обнаружили ботнет из более чем 550 тысяч Маков. Ну вот, «опять начинается», скажете вы. Но ведь правда же! На данный момент по миру уже зафиксировано более 670 тыс. зараженных компьютеров, хоть нас, русских пользователей, это пока и не касается особо (см. карту):

    image

    Но все же мы не преминем еще раз развенчать миф о неприступности платформы, а там, глядишь, и поможем кому-нибудь, поскольку без инструкций по лечению компьютера и бесплатных уроков управления гневом у нас беседы о Маках не обходятся. Итак, для тех, кто в танке, повторяем:

    Trojan-Downloader.OSX.Flashfake.ab

    Бот распространяется через зараженные вебсайты в виде Java-апплета, выдаваемого за обновление для Adobe Flash Player. Java-апплет запускает на выполнение загрузчик первого уровня, который загружает и устанавливает основной компонент троянской программы. Основной компонент представляет собой троянец-загрузчик, который постоянно соединяется с одним из командных (C&C) серверов и ожидает команд на загрузку и выполнение новых компонентов.

    Бот находит свои C&C серверы по доменным именам, которые генерируются с помощью двух алгоритмов. Первый алгоритм основан на текущей дате, второй использует несколько переменных, которые хранятся в теле бота в зашифрованном виде. Шифрование основано на алгоритме RC4 и использует UUID (уникальный идентификатор компьютера) в качестве ключа.

    Мы провели обратный инжиниринг первого алгоритма генерации доменов и на основе даты исследования — 06.04.2012 — сгенерировали и зарегистрировали доменное имя krymbrjasnof.com. После регистрации домена мы получили возможность вести журнал обращений от ботов. Поскольку каждый запрос от бота содержит его уникальный аппаратный идентификационный номер (UUID), мы смогли рассчитать число активных ботов. В соответствии с журналом, менее чем за 24 часа с нашим сервером соединились более 600 000 уникальных ботов, которые вместе использовали более 620 000 внешних IP-адресов. Более половины всех ботов соединялись с нашим сервером с территории США.

    Итак, в том посте на секьюрлисте мы определили географическое распределение активных ботов Flashfake:
    Страна Число активных ботов
    США 300917
    Канада 94625
    Великобритания 47109
    Австралия 41600
    Франция 7891
    Италия 6585
    Мексика 5747
    Испания 4304
    Германия 4021
    Япония 3864

    Технические детали теперь навсегда останутся в нашей базе.

    Лекарство

    Теперь мы можем установить, был ли ваш UUID зафиксирован в базе обращений ботов к нашему sinkhole-серверу. Подробная информация о том, как пройти данную проверку, и рекомендации, что необходимо сделать в случае заражения, находится на сайте flashbackcheck.com. Десятки тысяч людей уже воспользовалось нашим микросайтом flashbackcheck.com, а 2,7% из них обнаружили себя в базе зараженных.

    Пользователи Mac OSX также могут проверить, инфицирован ли их компьютер Flashfake, и удалить вредоносную программу в случае ее наличия, используя специальную бесплатную утилиту «Лаборатории Касперского».

    image

    10 советов

    И конечно же, долгожданные советы для наших дорогих пользователей маков. Вы-то, конечно, все их знаете, зато можете добавить свои, или оспорить, если хотите. Полный текст со скриншотами, где что делается, находится по ссылке: можете дать его почитать не слишком компетентным знакомым или младшему поколению.

    1. Для повседневного использования создайте учетную запись без прав администратора
    2. Пользуйтесь браузером, имеющим «песочницу» (sandbox) и хорошую репутацию относительно быстрого закрытия брешей в защите
    3. Удалите автономную версию Flash Player
    4. Решите проблему с Java
    5. Запускайте «Обновление программ» и обновляйте компьютер сразу же после выхода патчей
    6. Используйте менеджер паролей для противодействия фишинговым атакам
    7. Отключайте IPv6, AirPort и Bluetooth, когда они вам не нужны
    8. Запустите шифрование всего диска и FileVault (версии MacOS X 10.7 и выше)
    9. Обновите Adobe Reader до версии 10 или выше
    10. Установите хорошее решение для защиты данных

    Если этим постом мы поможем хоть одной заблудшей душе обрести безопасность, то будем считать, что миссия поста выполнена. Хотя возможно, для этого и понадобится репост на Вконтактик ;)
    «Лаборатория Касперского»
    283.49
    Ловим вирусы, исследуем угрозы, спасаем мир
    Share post

    Comments 83

      –14
      У меня одного вызывают недоверия все антивирусные компании?
      Ведь кому надо делать эти самые ботнеты и вирусы? Юному хакеру из Японии, которому нужно заработать денег, а не писать всякую хрень. Или компании, которая живет и существует пока есть эти самые вредоносные программы.
      Работники этих самых компаний, спасибо за надвигающиейся минусы.
        +28
        Конспирология на Хабре? Нет-нет-нет.
          +14
          :) Ну, я просто озвучил мысли вслух. По-моему для этого и нужен хабр — чтобы общаться.
            +16
            Хабр существует для высказывания своего имха в очень-очень-очень учтивой форме.
              +29
              Я вижу по карме, что Вы эксперт высказываний на хабре в учтивой форме)))
                +8
                На самом деле надо быть резким, бить прям в глаз и так, чтобы нечего было ответить.
                Но при этом — очень тонко.
                • UFO just landed and posted this here
                    +10
                    Если палец достаточно тонкий.
                –9
                > высказывания своего имха
                > имха

                Дорогой коллега, вы, конечно, не обессудьте, но будьте столь любезны произвести акт убиения самого себя. В качестве способов выполнения моей просьбы могу предложить вам любую достаточно прочную стену в непосредственной близости. Также весьма распространённым вариантом решения проблемы является принятие летальной дозы яда. Однако вы можете выбрать и другой способ, более удобный лично вам.

                С уважением,
                Коллега.
                  –5
                  gvsmirnov, выпей йаду и убей себя апстену!
                    0
                    Какой блестящий и элегантный обмен колкостями! Браво, господа, добавьте огня на этой странице!
            +9
            Такие ботнеты делают далеко не юные хакеры. А зарабатывают они на таких ботнетах наверное намного больше чем антивирусные компании.
              +9
              Не хотел переходить на личности, но:
              ЗАО «Лаборатория Касперского»
              Число сотрудников — более 2400 (2011 год)
              Оборот — 612 млн $ (2011 год)

              Так, информация на подумать.
                +2
                Вы думаете работникам хотя бы половина дохода перепадает? Сомнительно… Впрочем это не мешает конспирологическим теориям — владельцам бизнеса регулярное появление вирусов дейтсвительно выгодно.
                  +2
                  Нет, я так не думаю. Работникам скорее всего не перепадает и 10-я часть.
                  +3
                  Оборот и доход немного разные вещи, вы не находите?
                    +1
                    Я не знаю ЗП сотрудников, цену за аренду и остальные расходы. А оборот компании — доступаня цифра, которую взял с википедии. По обороту можно примерно понять уровень компании и прикинуть доход. Я все веду к тому, что это — бизнес, большой бизнес.
                    –4
                    И кампания с таким оборотом делает такой антивирус? Я, конечно, не говорю, что там прям так всё плохо, но призадуматься бы им стоило.
                      0
                      Думаю стоит пояснить нить своего недовольства:
                      * не могут \ не хотят бороться с триал-резетом
                      *сейчас для них маркетинг важнее качества — главное выпустить продукт к такому-то сроку — а то, что там будет куча дыр, дак это можно патчами залатать.
                      * отключил KSN. Недавно буквально, каспер меня огорошил — у файла низкий рейтинг в KSN. WTF?

                      Вот, и это только навскидку.
                    –2
                    Времена вирусов by Kaspersky канули в лету, товарищ.
                    +9
                    «используя специальную бесплатную утилиту «Лаборатории Касперского».»
                    Вас «злые работники антивирусных компаний» заставляют _покупать_ эту хрень? Если Вы не заметили, то на все глобальные действия всегда есть _бесплатное_ решение от «злых рабоников антивирусных компаний». Какой им смысл тратить силы на создание ботнета (а это не просто, нужно чтоб другие антивирусники не ловили бот), и затем выпускать решение которое чистит сбственную работу?
                      +1
                      А Вы себе отвечали на вопрос: зачем сотрудники компании сделали бесплатную утилиту? Или там 2400 альтруистов работают?
                        +2
                        Да, учитывая что эти программы слабо себя окупают, можно считать их альтруистами. Такие компании лучше зарабатывают на корпоративных решениях, нежели на домашних клиентах. А программками этими по большему счету пользуются домашние пользователи.
                          +3
                          Вы думаете сделав программку-чистилку на коленке за несколько дней КасперскиЛаб много потерял? Хаха! Да они как раз ЗАРАБОТАЛИ! Заработали авторитет среди пользователей, заработали бесплатный пиар в СМИ (так и вижу как все трубят — «Касперский снова спасает мир от вирусов!»). Да они просто кросавчеги, и им нафиг не надо даже считать затраты, которые понесли при разработке этой бесплатной программы. Многие пользователи после этого потом задумаются а какой бы мне антивирус поставить?.. А тут касперскийлаб — БАЦ! Нате вам — Касперский Секурити спешиал фор макос! Всего 999 баксов в год. А сколько они там пользователей в мире-то насчитали, а? Что-то близкое ляму пользователей, если хотя бы 10-20%% пользователей купят их продукт, то это неплохой прирост будет к клиентской базе…
                            +1
                            Вы озвучиваете все мои мысли. Мысли о том, что это большой бизнес. А ботнет — способ еще раз себя попиарить.
                            Я не писал о конкретной бесплатной утилитке, я писал вообще о глобальном рынке антивирусных программ.
                              0
                              Прально, за бугром тем более на маках никто Каспером наверное не пользуется. А так они просто ворвались на рынок
                          +8
                          дык ыть — реклама двигатель прогрессапродаж
                            +3
                            Ботнеты прибыльней разработки антивирусов =)
                              +4
                              Ну и разве не логично в таком случае получать кусок пирога и там и там? :)
                              конспирология рулит ;)
                                +2
                                Дык получается Вы колбаской отодвигаете от себя вкусный кусок свинины :) А вообще идея хорошая. Конспирация, шпионы, секреты, расследования! Кто создал ботнет?
                                  0
                                  Почему же отодвигаете? Вдумайтесь: стоимость услуг из-за антивирусных компаний у хозяев бот-нетов только повышаются, ведь «нужно же ещё отантивирусов прятаццо»… Подумаешь приходится перезапускать время от времени сети — они только в выигрыше ;)
                            –1
                            "… которое чистит собственную работу" бесплатно!
                            –1
                            Только вчера читал АМА человека, который разрабатывает малварь.
                            www.reddit.com/r/IAmA/comments/mmecu/iama_malware_developer_ama/
                            Этот под Мак/никс ничего не писал, правда.
                            +3
                            10. Установите хорошее решение для защиты данных

                            Например? :)
                              +67
                              Ну вот если бы мы написали Антивирус Касперского на Mac, вы б небось заминусовали? :)
                                +4
                                Каждому лысому, купившему…
                                  +4
                                  Тогда в догонку вопрос
                                  7. Отключайте IPv6, AirPort и Bluetooth, когда они вам не нужны

                                  Чем это обусловлено?
                                  У меня, например, перманентно включен AirPort, я буду гореть в 8-ми битном аду?
                                    +5
                                    Эти три сервиса могут быть использованы как точки входа хакерских атак, только и всего.
                                      +4
                                      … как и IPv4.
                                      Что касается IPv6 — давно его использую => он мне всегда нужен.
                                      Мне лично кажутся некоторые «правила» — «уж-очень-черезчур-совсем».

                                        +3
                                        Ну и IPv4 отключайте… Вообще проблем не будет :)
                                          0
                                          7. Отключайте IPv6, AirPort и Bluetooth, когда они вам не нужны
                                          Да и вообще, ключевой пункт — «Вам лично». Мне же лично включить IPv6 и в голову не придет просто так. А нужен он мне бывает, хм… чуть чаще чем никогда, наверное. Как и большинству до сих пор.
                                          Так что совет вполне адекватный.
                                            0
                                            а я и не говорил что он не адекватный. просто так издалека намекнул, что это протокол такой же как и IPv4… и его отключение не совсем оправдвнно, хотя сейчас, когда еще нет полной его поддержки повсеместно, оправдание таки найти можно.
                                            Главный посыл стати понятен, и не вызывает каких-то негативных эмоций, но сейчас, с развитием технологий и их повсеместного использования пора бы уже задуматься не о защите, как таковой, а о культуре жизни в сети. И «интернет-контрацепция» должна быть неотъемлемой её частью.
                                            А вот советы типа «отключите ipv6» сроди… эээ...«отрубите себе руки». Ну вобщем Вы меня поняли
                                              0
                                              Он совершенно не такой же, как ipv4. Между ними десятки лет разницы, а значит, за спиной 4ки десятки лет борьбы бобра с ослом. И сотни найденных и закрытых дыр, чего пока 6ке не светит. И уязвимости уже есть.
                                    +4
                                    Может голову? :)
                                      0
                                      Мак дорогой, а сей девайс к нему купить будет еще дороже! О_о
                                      Нет уж, как-нибудь сам
                                    0
                                    даже на аляске все на маке сидят )
                                      +6
                                      Там нет деления по штатам. На все США 300 тыщ ботов => заливаем всю страну красным.
                                      +17
                                      Эта пандемия таки пробралась на Мадагаскар. Победа за нами!
                                      +1
                                      4. Решите проблему с Java

                                      Что подразумевается под этим пунктом?
                                        0
                                        Установить последние апдейты, они как раз для джавы
                                          0
                                          Обновить до последней версии?
                                            0
                                            Друзья, все подробности по линку в посте.
                                              +3
                                              Прошлые версии Flashfake запрашивали пароль рута для установки в систему, последний вариант (и вызвавший столь серьезную эпидемию) использует уязвимости в Java (из-за чего собственно весь шум).
                                              0
                                              Бот распространяется через зараженные вебсайты в виде Java-апплета, выдаваемого за обновление для Adobe Flash Player. Java-апплет запускает на выполнение загрузчик первого уровня, который загружает и устанавливает основной компонент троянской программы. Основной компонент представляет собой троянец-загрузчик, который постоянно соединяется с одним из командных (C&C) серверов и ожидает команд на загрузку и выполнение новых компонентов.


                                              Он при этом elevated privileges запрашивает, или эксплуатирует какую-нибудь уязвимость для получения прав?
                                                +2
                                                Упс, промах с ответом: habrahabr.ru/company/kaspersky/blog/141963/#comment_4748384
                                                  +5
                                                  Ну в любом случае если мы сидим на сайте и вдруг вылезает окошко «нажмите сюда чтобы обновить ваш браузер/плеер/качалку/мочалку/whatever», хорошим тоном считается никуда не нажимать и окошко закрыть. Кто нажал — сами себе злобные ежики.
                                                +5
                                                defaults read /Applications/Safari.app/Contents/Info LSEnvironment
                                                2012-04-12 16:48:21.432 defaults[7260:707]
                                                The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
                                                defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
                                                2012-04-12 16:49:30.488 defaults[7277:707]
                                                The domain/default pair of (/Users/fishmd/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist

                                                и не недо касперского
                                                  +12
                                                  чем краснее страна — тем лучше живут люди)
                                                    +3
                                                    Your computer is not infected by Flashfake.

                                                    INSTRUCTIONS

                                                    Download a trial version of Kaspersky Anti-Virus 2011 for Mac This program offers comprehensive protection against all known malicious programs for Mac OS X.

                                                    Зачем оно мне?
                                                      +5
                                                      Похоже на правду. Россия (софт под виндовс)

                                                      image

                                                      Остальной мир

                                                      image
                                                        +12
                                                        Боже!!! Не туда! Как же так, ну как маленький…
                                                          +18
                                                          Я пару минут пытался придумать логическую цепочку, связывающую проникновение Маков в США и России с разрешениями экранов.
                                                            +13
                                                            я думаю если посидеть ещё пару минут, то можно было бы найти её.
                                                        0
                                                        я конечно поставил Java (иначе такие вещи как phpstorm не запустятся), но вот апплетам не доверяю как activex на винде. Поэтому прежде чем запустить, каждый апплет спрашивает «а можно», и только если я сюда шел за этим апплетом (в частности интернет-банк) тогда запускаю.
                                                          +2
                                                          Несколько альтернативных вещей для проверки:
                                                          github.com/jils/FlashbackChecker/wiki
                                                          www.f-secure.com/v-descs/trojan-downloader_osx_flashback_k.shtml
                                                            +1
                                                            Ну а тем кто еще не обовил Java инструкция по ее отключению

                                                            community.rapid7.com/videos/1373
                                                              +2
                                                              Я правильно понял, что гренландские эскимосы больше пользуются маками чем жители Ливии и Узбекистана?

                                                              Как-то слабо верится =/
                                                                +1
                                                                И почему пост от ЛК если нашли ребята из DrWeb?
                                                                  +1
                                                                  Всем же нужно попиариться. А Dr.Web не обременяет себя необходимостью постить новости где только можно, как это делают коллеги из ЛК.
                                                                  +2
                                                                  А вы знаете какой стране принадлежит Гренландия? Вот вместе с этой страной Гренландию одним цветом и залили.
                                                                    +1
                                                                    Тут почти то же самое, что и Аляска по отношению к США.
                                                                    0
                                                                    Походу статистика ненормированная
                                                                      +1
                                                                      Забавный глюк: Чукотка за 180 меридианом не закрашена цветом России.
                                                                        0
                                                                        совет по удалению флешплеера приводит пользователя к тому, что он будет вынужден пользоваться только броузером google chrome. Я не согласен с такой политикой.
                                                                          +6
                                                                          Как вы однако ревнивы к коллегам из компании Dr. Web. :) Стоило им оказаться хоть в чем-то впереди, и вы тут же стараетесь взять реванш и перетянуть внимание на себя.
                                                                            0
                                                                            Занятно, учитывая что утилиту kaspersky flashfake removal tool отозвали как потенциально опасную.
                                                                              0
                                                                              Я думал в связи со всеми этими событиями появятся всякие разные смешные картинки на тему как «червяк» хозяйничает в «яблоке». Или высказывания типа «Сейчас твой сайт яблоками закидаю» =)
                                                                                0
                                                                                > 4. Решите проблему с Java

                                                                                Наверно, так же как пункт 3.

                                                                                > 7. Отключайте IPv6, ..., когда они вам не нужны

                                                                                Ботнеты работают по IPv6? Поясните пжлст. Я бы предпочёл отключать IPv4 когда он не нужен.
                                                                                  +1
                                                                                  Говорят, после вашей утилиты бывают проблемы www.tomshardware.com/news/Flashfake-Flashback-Kaspersky-Removal-tool-Botnet,15315.html

                                                                                  Пострадавших надеюсь нет?
                                                                                  Я волнуюсь.
                                                                                    0
                                                                                    Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского», уточняет, что обращения в службу технической поддержки «Лаборатории Касперского», связанные с некорректной работой утилиты, были единичными. При этом, говорит он, из России обращений не поступило ни одного. «Ошибка в программе была оперативно устранена, и сейчас пользователям доступна обновленная версия утилиты», — добавляет эксперт.

                                                                                  Only users with full accounts can post comments. Log in, please.