Исследователи обнаружили несколько вариантов Flashback, которые активно эксплуатируются злоумышленниками.
Исследователи безопасности из компании Intego обнаружили новую модификацию вируса Flashback, который заражает устройства на базе Mac OS X. При компрометации системы Flashback.S без запроса пароля устанавливает свои файлы в каталоги ~/Library/LaunchAgents/com.java.update.plist и ~/.jupdate. После этого происходит удаление всех файлов в ~/Library/Caches/Java/cache, что позволяет избежать обнаружения.
Сотрудники Intego располагают несколькими вариантами Flashback, которые активно эксплуатируются злоумышленниками.
Напомним, что вирус впервые был обнаружен в феврале этого года, когда для распространения троян эксплуатировал давно обнаруженные уязвимости в платформе Java (CVE-2011-3544 и CVE-2008-5353).
В начале апреля сотрудники антивирусной компании «Доктор Веб» установили , что количество систем, состоящих в ботсети Flashback, насчитывают свыше 550 тысяч. Одна из модификаций вредоносной программы содержала эксплоит к уязвимости CVE-2012-0507, устраненной в феврале текущего года для Windows-систем. После того, как информация о том, что данная брешь активно эксплуатируется для компрометации систем на базе Mac, стала публично известной, компания Apple устранила данную уязвимость для Mac. Впоследствии Apple, а также ряд антивирусных компаний выпустили инструменты, устраняющие данную вредоносную программу.
Исследователи отмечают, что вирус применяет своеобразный механизм создания адресов командных серверов, который позволяет при потребности перераспределять нагрузку между ними. Каждому боту сети определяется уникальный идентификатор, благодаря чему, с помощью метода sinkhole сотрудникам «Доктор Веб» удалось определить количество пораженных узлов.
Ладно, не доказали. Но мы работаем над этим