О троянце Flashback

Антивирус Dr.Web
для macOS

Когда компания «Доктор Веб» впервые обнаружила BackDoor.Flashback.39?

Вредоносные программы семейства BackDoor.Flashback известны уже довольно давно, с октября 2011 года. Модификация BackDoor.Flashback.39 была добавлена в вирусные базы Dr.Web 27 марта 2012 года.

Как происходит заражение троянцем BackDoor.Flashback.39?

Для того чтобы заразиться троянской программой BackDoor.Flashback.39, вполне достаточно соблюдения двух несложных условий: в операционной системе пользователя должна быть установлена Java, и пользователь должен открыть в браузере один из инфицированных веб-сайтов. Таковыми являются как специально созданные злоумышленниками веб-страницы, так и взломанные ресурсы, к которым вирусописатели получили доступ. Вредоносная веб-страница загружает апплет — специальную микропрограмму, написанную на языке Java. Используя уязвимость Java-машины, апплет сохраняет на жесткий диск компьютера Apple исполняемый файл и специальный файл .plist, отвечающий за запуск приложения. После этого апплет использует сервис launchd, которому передается сохраненный на диске конфигурационный файл, что позволяет запустить троянца без участия пользователя. Фактически жертва вообще не замечает момента заражения — пользователь просматривает в браузере веб-страницу, в то время как его «мак» уже инфицирован вредоносной программой.

Заразиться можно с использованием любого браузера?

Да, неважно, каким браузером вы пользуетесь. Если на вашем компьютере установлена Java и вы не загрузили предлагаемое компанией Apple обновление безопасности, ваша система подвергается опасности.

Нужно ли вводить какой-то пароль, чтобы троянец проник на компьютер?

Нет, не нужно. Заражение происходит автоматически и незаметно для пользователя.

А если я не использую в macOS учетную запись Администратора?

В данном случае это неважно. Для реализации своего деструктивного функционала троянцу BackDoor.Flashback.39 вполне достаточно прав пользователя macOS.

BackDoor.Flashback.39 — это вирус или троянская программа?

Вирусы отличаются от троянцев тем, что обладают функцией саморепликации. Троянцы размножаться самостоятельно не умеют. BackDoor.Flashback.39 — это троянская программа. Она проникает на компьютер и заражает систему без участия пользователя, но не может скопировать себя на другой компьютер Apple: чтобы заразиться, пользователю придется посетить вредоносный веб-сайт. Однако, несмотря на это, не стоит недооценивать опасность данной угрозы.

Как компания «Доктор Веб» вообще обнаружила этого троянца?

Уязвимость, используемая троянцем BackDoor.Flashback.39, известна уже довольно давно, причем не только в macOS, она была обнаружена также в Windows и других операционных системах и своевременно добавлена в базы Dr.Web. В конце марта 2012 года в антивирусную лабораторию поступила информация о том, что злоумышленники используют данную уязвимость с целью распространения вредоносного ПО, но не для Windows, а для macOS. Образец вредоносного файла был проанализирован и добавлен в базы 27 марта. Однако вскоре был получен еще один сигнал об атаке на уязвимость Java именно под macOS, потом еще один и еще. По совокупности поступающей информации аналитиками антивирусной лаборатории было выдвинуто предположение, что среди пользователей компьютеров Apple действует бот-сеть, размеры которой, учитывая безопасность операционной системы и особенности ее архитектуры, вряд ли могут быть велики. Специалисты компании «Доктор Веб» решили проверить это предположение. Действительность превзошла самые смелые ожидания.

Как было подсчитано количество зараженных компьютеров?

Для подсчета размеров ботнета был использован метод sinkhole, суть которого заключается в следующем. BackDoor.Flashback.39, как и многие другие троянские программы, не содержит в себе адресов управляющих серверов, он генерирует их автоматически по специальному алгоритму в виде обычных DNS-имен веб-сайтов. Благодаря этой технологии злоумышленники могут оперативно зарегистрировать новый управляющий сервер, если антивирусные компании заблокируют существующие, поскольку они знают алгоритм, используемый троянцем для выбора таких имен. К тому же этот метод позволяет вирусописателям оперативно перераспределять нагрузку между несколькими управляющими серверами: при определенном размере ботнета один командный центр может попросту не справиться с управлением сетью. Поэтому троянец последовательно «стучится» на все командные серверы, которые может найти. Дальше дело техники: специалисты компании «Доктор Веб» проанализировали используемый BackDoor.Flashback.39 алгоритм выбора доменных имен, зарегистрировали несколько из них и установили на этих сайтах собственную управляющую программу. Первоначально существовало предположение, что часть троянцев, «отстукивающихся» на созданный специалистами «Доктор Веб» управляющий центр, является модификацией BackDoor.Flashback.39 для ОС Windows, но аналитики «Доктор Веб» достаточно быстро получили доказательства того, что это не так. Все обнаруженные антивирусной лабораторией боты работали под управлением macOS.

В чем заключается опасность BackDoor.Flashback.39 для пользователя?

В том, что BackDoor.Flashback.39 способен загружать из Интернета и запускать на инфицированной машине любые другие исполняемые файлы. Любую программу, которую «прикажут» ему скачать злоумышленники. Таким образом, владелец «мака» может стать частью DDoS-сети, у него могут украсть пароли доступа к различным сайтам, могут «подсунуть» сниффер или кейлоггер, провести фишинговую атаку… Спектр возможных последствий заражения ограничен, по большому счету, разве что фантазией вирусописателей.

Если я установил обновление Java от Apple, защищен ли я от троянца BackDoor.Flashback.39?

Нет. Установка обновления защитит вас от опасности заражения, но если вредоносная программа уже проникла на ваш компьютер, обновление не поможет.

 

Как узнать, инфицирован ли мой компьютер троянцем BackDoor.Flashback.39?

Компания «Доктор Веб» создала специальный онлайн-сервис, который позволяет проверить, инфицирован ли ваш компьютер: https://www.drweb.ru/flashback. Для того чтобы воспользоваться данным сервисом, вам нужно ввести в специальное поле UUID вашего Apple-компьютера. Данная услуга предоставляется бесплатно.

Мой компьютер инфицирован! Как удалить BackDoor.Flashback.39?

Вы можете бесплатно скачать программу Dr.Web для macOS Light с сайта App Store и выполнить полную проверку вашей системы. В случае обнаружения угрозы она будет удалена автоматически.

Кому выгодно распространение BackDoor.Flashback.39?

Уязвимость, используемая троянцем BackDoor.Flashback.39, хорошо известна в течение длительного времени. Было бы удивительно, если бы злоумышленники не воспользовались такой уникальной возможностью.

Необходимо ли использование антивирусных программ на macOS?

Это должен решать сам пользователь. Безусловно, операционная система производства компании Apple гораздо лучше защищена от вредоносных программ по сравнению с Windows, однако она все же не является стопроцентно безопасной, в чем мы можем убедиться, глядя на эпидемию BackDoor.Flashback.39. Предлагаемая компанией «Доктор Веб» антивирусная программа Dr.Web для macOS Light распространяется бесплатно, владельцы Apple-совместимых компьютеров могут скачать ее с App Store и использовать без каких-либо ограничений, либо удалить, если она им по каким-либо причинам не понравится.