Mac'e özgü Flashback kötü amaçlı yazılım salgınının boyutuna ilişkin yeni ayrıntılar bugün ortaya çıktı. Etkilenen Mac'leri aktif olarak araştıran Rus güvenlik firması, OS X'in eski sürümlerinin daha savunmasız olduğunu ve virüs bulaşmış birçok Mac'in güvenlik güncellemelerini kaçırdığını buldu.
Dr. Web, Rus güvenlik şirketi hakkında en verimli bilgi kaynağı olmuştur. Flashback kötü amaçlı yazılım istilası, virüslü yazılımların başarılı bir şekilde ele geçirilmesine dayanan yeni verileri bugün yayınladı Mac'ler.
yeni blog yazısı Salgının zirvede olduğu 13 Nisan'da toplanan verileri kullanarak, virüslü makinelerin bot ağındaki kontrol sunucularıyla nasıl iletişim kurduğunu metodik olarak analiz ediyor.
Yeni araştırma raporuna göre, virüs bulaşan Mac üzerinde çalışan Truva atı programı, kontrol sunucularına istek gönderiyor. Bu istekler, bot sürümü ve işletim sistemi de dahil olmak üzere, virüslü sistem hakkında ayrıntılı bilgiler içerir. çekirdek numarası ve kötü amaçlı yazılımın yükseltilmiş ayrıcalıklarla mı yoksa sıradan bir kullanıcı olarak mı yüklendiği hesap.
Kern.osrelease değeri şunu kullanır: Darwin sürüm numarasıBu, Dr. Web tablosundaki verilere bakan sıradan bir gözlemcinin kafasını karıştırabilir. (Darwin çekirdeği 9.8, Dr. Web verilerini bir elektronik tabloya ekledim ve bu sayıları eşdeğer OS X sürümlerine dönüştürdüm. İşte nasıl bozuldular:
- 10,5 (Leopar) – %25
- 10,6 (Kar Leoparı) – %63,4
- 10,7 (Aslan) – %11,2
OS X'in en son sürümü Lion'u çalıştıran virüslü Mac'lerin yüzdesi, kullanılan makineler arasındaki payından daha düşük. Bu şaşırtıcı değil. Bu kötü amaçlı yazılım, Leopard ve Snow Leopard'da bulunan ancak Lion'da bulunmayan Java'daki bir istismar yoluyla yayılır.
Virüs bulaşan makinelerin yüzde 25'inin artık Apple tarafından desteklenmeyen Leopard'ı çalıştırıyor olması da dikkat çekici. Bu makinelerin sahipleri, güvenlik açığı bulunan Java sürümü için bir yama alamaz ve Java'yı kaldıramaz. Tek başvuruları tarayıcıdaki Java eklentisini devre dışı bırakmaktır.
Verileri daha da detaylandırdığımda, virüs bulaşmış Mac'lerden kaçının OS X'in eski sürümlerini çalıştırdığını görünce paniğe kapıldım. Bu örnekte Snow Leopard çalıştıran tüm virüslü Mac'lerin yaklaşık %24'ü en az bir sürümü güncel değildi ve bu kullanıcıların %10'undan fazlası üç veya daha fazla büyük güncellemeyi atlamıştı.
Benzer şekilde Lion kullanıcıları arasında virüs bulaşan makinelerin yaklaşık %28'i en az bir güncellemeyi atlamıştı.
Flashback kötü amaçlı yazılımı, kurulum rutininin bir parçası olarak kullanıcıdan bir yönetim şifresi ister. Kullanıcı bu şifreyi girerse kötü amaçlı yazılım, sistem ayrıcalıklarına sahip bir konuma yüklenir. Kullanıcı bir şifre girmezse, kötü amaçlı yürütülebilir dosya kullanıcının evine kaydedilir. dizini ve kötü amaçlı eylemleri gerçekleştirmek için yeterli olan mevcut kullanıcı izinleriyle başlatıldı görevler.
Dr.Web, virüs bulaşan Mac'lerin %12'sinin yönetici ayrıcalıklarıyla çalıştığını tespit etti; bu, kötü amaçlı yazılımın sosyal mühendisliğinin 8 kullanıcıdan 1'inde etkili olduğu anlamına geliyor.
Geçen hafta Symantec araştırmacıları Dr. Web'in raporunu doğruladılar: Flashback enfeksiyonlarının sayısı yüksek kaldı. Kaspersky Lab bugün ayrı bir açıklama yaparak bu bulguları bağımsız olarak doğruladı:
Geçen hafta Kaspersky Lab, şirketin çukurunun bulgularına dayanarak Flashfake botnet'in boyutunun güncellenmiş bir sayısını sundu. Çukur, benzersiz botların sayısının 650.748'den (6'dan itibaren) artmasıyla botnet'in boyutunun önemli ölçüde azaldığını gösterdi.o Nisan) 30.629'a (19 itibarıyla)o nisanın).
Ancak Kaspersky Lab, istatistiklerinin üçüncü taraf bir çukurdan etkilendiğini ve bunun da Kaspersky Lab'in çukuruna bağlı benzersiz botların bulaşma sayılarını sınırladığını tespit etti. Araştırma amaçlı olarak 74.207.249.7 IP adresine kaydedilen üçüncü parti obruk, Flashback'e neden oluyordu. TCP anlaşmasını hiçbir zaman kapatmadığı için bağlantıların askıda kalması, aslında Flashback'in sonraki vuruşları engellemesi alanlar.
Kaspersky Lab, botnet boyutunun önceden tahmin edilenden daha büyük olduğunu doğruladı ve analizi tamamlandıktan sonra botnet boyutuna ilişkin güncel araştırma bulgularını yayınlayacak.
Bu arada, bu hafta yayınlanan bir raporda Flashback kötü amaçlı yazılımının yeni çeşidi dolaşımda, bu da yazarlarının hala aktif olarak çalıştığını ve savunmasız Mac'leri hedeflediğini gösteriyor.
Ayrıca bakınız:
- Rus güvenlik firması Flashback enfeksiyon oranlarının hala yüksek olduğunu söyledi
- Yeni Flashback çeşidi Mac'lere sessizce bulaşıyor
- Apple, Flashback temizleme aracını yayınladı, enfeksiyonlar 270.000'e düştü
- 600.000'den fazla Mac'e Flashback Truva Atı bulaştı
- Java ne kadar büyük bir güvenlik riskidir? Gerçekten kullanmayı bırakabilir misin?