Как да защитим своя Mac от най-разпространения вирус за операционната система Mac OS X до момента - троянецът Flashback? Лидерът в проактивната сигурност ESET дава отговор на тази въпрос със задълбочения анализ на поведението на заплахата, която и до днес е на челните места на заплахите за платформата в света.
Вирусът е добавен в дефинициите с вируси, използвани от продуктите на ESET през септември 2011 и до момента е най-често срещаната заплаха за Mac. По време на анализа поведението на троянеца с име OSX/Flashback от компанията са се натъкнали на стотици хиляди заразени машини, обединени в огромна бот мрежа.
"Истинският ръст в заразите започна през март 2012 г., когато заплахата започна да се разпространява масово, използвайки пробойна в Java платформата, идваща с OS X на Apple. През първите няколко месеца на април активирахме няколко системи за мониторинг, за придобием по-ясна представа за мащаба на инфекцията. Само няколко седмици по-късно, в началото на май 2012 г., и последният C&C (командващ и контролиращ) сървър, управляващ ботмрежата, изградена от заразени с Flashback компютри, беше изключен. Оттогава можем да кажем, че ботмрежата реално е мъртва," коментира Пиер-Марк Бюро, главен анализатор на вируси в ESET.
Причините за изследването на вируса от страна на ESET са няколко. Първо, той използва новаторски техники за шпиониране на потребителите докато те сърфират в интернет. Троянецът използва и няколко различни метода, за да се свърже с контролния си сървър. Сред тях са динамично генериране на домейни и търсене на хаштагове в Twitter. И накрая, мащабът на заразата я превърна в много интересна, тъй като наличието на ботмрежа от стотици хиляди Mac-ове е безпрецедентна в историята.
"В разследването ни участваха различни екипи от ESET. В централата ни в Братислава беше създаден алгоритъм за засичане на бота, докато в прага и Монреал беше извършена т.нар. "обратен инженеринг" на кода на заплахата," разказва Бюро.
Основната цел на ESET винаги е била смекчаването на заплахите, а имайки предвид мащаба на OSX/Flashback, трябваше да направим две неща: първо, да информираме потребителите за тази заплаха, за да могат да проверя системите си и в случай на зараза - тя да бъде отстранена. На второ място, сътрудничихме си с други играчи от сферата на информационната сигурност, за да регистрираме колкото се може повече от имената на домейни, генерирани от бота, като по този начин да орежем възможностите за разпращане на команди от самия C&C сървър," добавя той.