Ringkasan: rincian baru tentang tingkat epidemi malware Mac spesifik Flashback muncul hari ini. Perusahaan keamanan Rusia yang telah aktif menyelidiki Mac terinfeksi ditemukan versi OS X lebih rentan, dan Mac yang terinfeksi telah melewatkan banyak update keamanan.
Dr Web, perusahaan keamanan Rusia yang telah menjadi sumber paling produktif informasi mengenai infestasi malware Flashback, yang diterbitkan data baru hari ini didasarkan pada intersepsi sukses dari Mac yang terinfeksi.
Para posting blog baru metodis rusak bagaimana mesin yang terinfeksi berkomunikasi dengan server kontrol dalam jaringan bot, dengan menggunakan data yang dikumpulkan pada 13 April, ketika wabah mencapai puncaknya.
Menurut laporan penelitian baru, Trojan horse program yang berjalan pada Mac terinfeksi mengirimkan permintaan untuk mengontrol server. Permintaan ini berisi informasi rinci pada sistem yang terinfeksi, termasuk versi bot, jumlah kernel OS, dan apakah malware tersebut telah terpasang dengan hak tinggi atau sebagai account pengguna biasa.
Nilai kern.osrelease menggunakan nomor versi Darwin , yang mungkin membingungkan pengamat biasa melihat data di chart Web Dr. (Darwin kernel 9.8, saya terpasang data Web Dr ke spreadsheet dan dikonversi ke dalam angka-angka X versi setara OS Berikut adalah cara mereka rusak.:
- 10.5 (Leopard) - 25%
- 10.6 (Snow Leopard) - 63,4%
- 10,7 (Lion) - 11,2%
Persentase Mac terinfeksi menjalankan Lion, rilis terbaru dari OS X, lebih rendah dari pangsa antar mesin digunakan. Itu tidak mengherankan. Malware ini menyebar melalui mengeksploitasi di Jawa, yang termasuk dalam Leopard dan Snow Leopard tapi tidak di Lion.
Ini juga dicatat bahwa 25% dari mesin yang terinfeksi menjalankan Leopard, yang tidak lagi didukung oleh Apple. Para pemilik mesin-mesin tidak bisa mendapatkan patch untuk rilis Jawa rentan, mereka juga tidak dapat uninstall Jawa. Satunya jalan mereka adalah untuk menonaktifkan plugin Java di browser.
Meruntuhkan data lebih jauh, saya terkejut melihat berapa banyak dari Mac yang terinfeksi menjalankan versi lama dari OS X. Hampir 24% dari semua Mac yang terinfeksi menjalankan Snow Leopard dalam sampel ini setidaknya satu versi dari tanggal, dan lebih dari 10% dari para pengguna telah melewatkan tiga atau lebih update utama.
Demikian pula, di kalangan pengguna Lion, hampir 28% dari mesin yang terinfeksi telah melewatkan setidaknya satu update.
Sebagai bagian dari rutin instalasi, malware Flashback mendorong pengguna untuk sandi administratif. Jika pengguna mengetik kata sandi yang, malware akan menginstal di lokasi dengan hak istimewa sistem. Jika pengguna tidak memasukkan password, file executable berbahaya disimpan di direktori home pengguna dan diluncurkan dengan hak akses pengguna saat ini, yang cukup untuk melakukan tugas berbahaya tersebut.
Dr Web menemukan bahwa 12% dari Mac terinfeksi berjalan dengan hak administrator, yang berarti bahwa rekayasa sosial malware adalah efektif pada tanggal 1 dalam 8 pengguna.
Pekan lalu, para peneliti Symantec mengkonfirmasi laporan Dr Web yang jumlah infeksi Flashback tetap tinggi . Dalam pernyataan hari ini, terpisah Kaspersky Lab independentlyconfirmed temuan:
Pekan lalu Kaspersky Lab memberikan sejumlah update dari ukuran botnet Flashfake, yang didasarkan pada temuan sinkhole perusahaan. Lubang pembuangan menunjukkan bahwa botnet secara signifikan menurun dalam ukuran sebagai jumlah bot yang unik pergi dari 650.748 (per 6 th April) menjadi 30.629 (per-19 April).Namun, Kaspersky Lab menemukan bahwa statistiknya sedang dipengaruhi oleh sinkhole pihak ketiga, yang membatasi jumlah infeksi bot unik terhubung ke lubang pembuangan Kaspersky Lab. Sinkhole pihak ketiga, yang tercatat untuk tujuan penelitian di alamat IP 74.207.249.7, yang menyebabkan koneksi Flashback untuk menggantung karena tidak pernah tutup jabat tangan TCP, pada dasarnya mencegah Flashback dari memukul domain berikutnya.Kaspersky Lab menegaskan ukuran botnet adalah lebih besar dari perkiraan sebelumnya, dan akan mempublikasikan temuan penelitian diperbarui pada ukuran botnet sekali analisisnya selesai.
Sementara itu, laporan pekan ini menemukan sebuah varian baru dari malware Flashbackberedar, menunjukkan bahwa penulisnya masih aktif di tempat kerja dan bertujuan Mac rentan.