[Видео] «Доктор Веб» приводит доказательства существования ботнета

80
После нешуточной шумихи, поднявшейся на просторах Интернета в последнее время, а также выступления представителей компании «Доктор Веб» в нашем подкасте, мы постарались познакомить наших читателей со всевозможными точками зрения на проблему уязвимости ботнетом FlashBack компьютеров Mac. И вот пришло время дать слово компании, первой обнаружившей данную уязвимость.

«Доктор Веб» предоставил возможность редакции AppleInsider.ru одними из первых ознакомиться с видеороликом, в котором показывают существование ботнета. Данный ролик, а также утреннее обновление Apple, призвано поставить точку в затянувшемся споре «А был ли мальчик?».

80 комментариев

  1. 0

    Хакинтош? ж)

  2. 0

    в добавок к хакинтошу, ос 10.6… Надо было 10.5 или вообще 10.4 показать

  3. 0
    Михаил Королев

    То, что появился файл это здорово.
    А дальше, что? Могут то, могут это.
    А почему еще не сделали?

    • 0
      Ренат Гришин

      Михаил, Я так понимаю этот вирус описан и расковырян, поэтому известно что он может. Почему распространители не дали команду, вряд ли кто-то ответит, кроме них самих 🙂

  4. 0
    Михаил Королев

    Проц Unknown, как подсказывает в тви @a_titkov
    Значит Хакинтош

  5. 0

    10.6 Snow Leopard релиз 28 августа 2009 года

    • 0
      Старта

      Serg, для Snow Leopard сценарий заражения такой же, а вот для Mac OS X Lion в зависимости от того поставил ли пользователь себе джаву или нет

  6. 0

    Ух ты! А что у меня тогда вирусов то немеряно! После почти каждого посещения разных страниц появляются какие то файлы, закладки, куки… Ой, печальна… Пойду убьюсь веником…
    (отправлено из приложения AppleInsider.ru)

  7. 0
    Antiborebuh

    Показали бы зараженый мас а не хакинтош.
    Фигня все это, сняли бы видео о вирусах на вин 98 или 95 -)))

  8. 0

    Я не очень понял некоторые моменты:
    ну появился файл, а дальше что? кто его запускать то будет?
    даже если он запустился и скачал ещё другую прогу, то как он эту прогу запустит? Появится же вопрос о первом запуске проги?
    Я новичок, проясните ситуацию.

  9. 0

    может я чегото непонимаю, но с момента релиза 10.6, почти за 3!!!! года вышло как минимум 8 более менее крупных апдейтов и мелкие обновления джав и прочего.
    Пусть выложат такойже ролик хотябы с 10.6.6.неговоря про 10.7.*
    И я вот не верю что у людей до сих пор стоит 10.6 (имено 10.6 без апдейтов как в ролике еще и ломаный хакинтош)

    • 0

      Serg, Версия ОС не играет роли, дыра которую юзает этот Троян была закрыта только недавно. Поэтому все версии ОС Х на которых установлена Ява БЕЗ патча подвержены заражению.

  10. 0

    Др веб лошары, даже мака нету у них)

  11. 0
    Андрей

    У меня мак оси нет только Иос, но по аналогии с виндой прошу что бы мне пояснили, этот файл, если он троян или вирус он же должен где то в процессах исполняющихся сидеть, как его удаленно запустят, и вообще он где нибудь как нибудь себя проявляет кроме того что он (файл) появился в директории ?

    • 0
      Андрей

      Андрей, И вообще, антивирус такая штука что порой видит вирус там где его нет, помню у как давным давно авира почти весь жеский диск в карантин поместила после обновления, потом правда еще одно обновление выпустили для авиры и все обратно востановилось 🙂

    • 0

      Андрей, Безопасность ios тоже преувеличена. JailBreak через заход на страничку jailbreak.me тому подтверждение.

      • 0
        Андрей

        riod, Джейл сам по себе это взлом, (хотя тот сайт уже не может взломать новые устройства с новой иос) а уж на взломанном устройстве какая может быть уверенность в безопасности?

        • 0

          Андрей, ТАк про т и разговор. Эту же дыру могли использовать не дял установки джеила а для того чтобы слить вашу инфу через телефон. Удаленно через ваш же браузер

  12. 0

    Развели из мухи слона, прошлой весной тоже все паниковали из-за macdefender, а в итоге пара апдейтов все уязвимости закрыла. Не парьтесь и забудьте про всю эту вакханалию от drweb

  13. 0

    Ещё поясните: у меня стоит Литтл Снитч -он разве обращение не выдал бы на подозрительный сервер от подозрительного процесса? Ну или штатный фаерволл маковский тоже не ругается на этот троян?

  14. 0

    Доктор веб приводит доказательство в не способности системы 2009 года противостоят трояну 2011-12 года .
    Откуда взялась цифра 550к ? Теория всегда идет в разрез с практикой.

    • 0

      Alesha, http://www.securelist.com/ru/images/pictures/klblog/207763930.png
      В основном заражены компьютеры в америке, оттого и кол-во

    • 0
      Старта

      Alesha, Как было подсчитано количество зараженных компьютеров?

      Для подсчета размеров ботнета был использован метод sinkhole, суть которого заключается в следующем. BackDoor.Flashback.39, как и многие другие троянские программы, не содержит в себе адресов управляющих серверов, он генерирует их автоматически по специальному алгоритму в виде обычных DNS-имен веб-сайтов. Благодаря этой технологии злоумышленники могут оперативно зарегистрировать новый управляющий сервер, если антивирусные компании заблокируют существующие, поскольку они знают алгоритм, используемый троянцем для выбора таких имен. К тому же этот метод позволяет вирусописателям оперативно перераспределять нагрузку между несколькими управляющими серверами: при определенном размере ботнета один командный центр может попросту не справиться с управлением сетью. Поэтому троянец последовательно «стучится» на все командные серверы, которые может найти. Дальше дело техники: специалисты компании «Доктор Веб» проанализировали используемый BackDoor.Flashback.39 алгоритм выбора доменных имен, зарегистрировали несколько из них и установили на этих сайтах собственную управляющую программу. Первоначально существовало предположение, что часть троянцев, «отстукивающихся» на созданный специалистами «Доктор Веб» управляющий центр, является модификацией BackDoor.Flashback.39 для ОС Windows, но аналитики «Доктор Веб» достаточно быстро получили доказательства того, что это не так. Все обнаруженные антивирусной лабораторией боты работали под управлением Mac OS X.

  15. 0

    Видео доказывает лишь то что была дыра, собственно с этим никто и не спорит, а вот размер заражения доказать невозможно. Поэтому хватит уже мусолить эту тему, сколько можно.

  16. 0

    Flashback показали. Dr.Web молодцы, наконец-то.

    А всякие ваши претензии на счет Хакинтош-нехакинтош вобще не к месту.

    В видео ясно сказано, что это не зависит от ОС, а от уязвимости в самой Java для которой Apple забыла выпустить обновление.

  17. 0

    И чего спорить? Apple выпустила обновление безопасности для Java? Выпустила. Угроза была? Была. Apple облажалась? Несомненно, так как целых три раза меняла обновление безопасности Java.
    Троян один? Один. Для Винды трояны десятками в сутки штампуют.
    И чего шуметь ради одного трояна?

    • 0
      Андрей

      beekay, Я только вижу что облажались вирусописаки и другие компании, так же никто не привел пример в консоли или как там в маке что процес запущен и конфигурациоонай файл работает

  18. 0

    «Врач, исцели себя сам.» Ну, или кто там поближе, дайте ему (DW) упокоительное или антидепрессант какой никакой, только насовсем не усыпляйте.
    Троянский конь оказался импотентом, глазки построил, хозяйство свое немалое (500000) всем показал, сделать ничего не смог… А некоторые извращенцы, как давай эти картинки по всему инету распространять, да со смаком, да детишек пугать — уууу, бу-бу, кааак укусит, да кааак сожрет. А король то голый…
    Уже и дыру залатали и выяснили, что ничего он не делает, и даже удалили его (у кого оно было?) а все по одному месту елозят этой…
    В общем, DW, выпей чего нить от припадков… Горе горькое…
    (отправлено из приложения AppleInsider.ru)

    • 0
      Старта

      AlMac, Поездов не бывает, — сказал мужик и смело лег на рельсы. Через 5 минут его раздавила электричка

      • 0

        Старта, Мать моя! И вы еще после этого что то пишете! Срочно скорую, противошоковую терапию! Мы его теряем! Фу ты, он же на других путях лежал… А след на лбу? Так это от кепки…
        (отправлено из приложения AppleInsider.ru)

  19. 0

    Еще вопрос сам собой напросился, а програмисты в дрвебе, софт для маков чтоли на хакинтошах пишут и тестируют?

  20. 0

    Видео показывает что появляется какой то файлик и все. А что он делает и главное как ?

    Для не опытного пользователя я думаю это скрытая реклама для покупки антивируса, который собственно не нужен.

    Apple вообще не нужно было не выпускать ни какую заплатку, без неё все работает замечательно.
    Можно подумать пользователь каждый раз пользуется java.

    • 0

      BigDrive, Я опять серьезен. Вы не правы, APPLE правильно сделала, что выпустила апдейт. Иначе эта истерия пошла бы на более крутой виток. И так, смотрите, все никак не успокаиваются. Прям обострение какое то после долгой ремиссии, хотя чему удивляться то, весна жеж… Она на неврологию и психиатрию самая плодовитая… Печальна…
      (отправлено из приложения AppleInsider.ru)

    • 0
      Старта

      BigDrive, Антивирус Dr.Web на Mac App Store распространяется бесплатно.

      Браво, какое меткое предположение! Вам все врут, вокруг враги и корпорации

      • 0

        Старта, Да неее… Не врут. Не договаривают.
        Кричат: -АААААААА!!!
        -Скажите уж тогда и Б.
        -Неа. АААААААА!!!
        -Да скажите же вы Б!!!
        -АААААААА!!!
        -Тьфу…
        -Вы дураки, не понимаете силы АААААА!!!
        (отправлено из приложения AppleInsider.ru)

  21. 0

    Настаящие поцики идут до конца, они снифают траф, перехватывают данные и находят админку и уводят ботнет.
    Наводит на мысль одно — КАК они обнаружили коня?
    Аналитики не раскрывают свои каналы ?слив инфы или случайность?.

  22. 0

    Эх, лажанулись здесь Dr.Web сказав про воровство паролей, сниффер и кейлоггер, вот это без админских прав не реально. А использование для DDoS или фишинг — реально.

  23. 0

    Все эти вирусы изобретают сами же фирмы антивирусов!
    (отправлено из приложения AppleInsider.ru)

  24. 0

    Касперыч жжот напалмом: http://e-kaspersky.livejournal.com/109772.html 🙂

  25. 0

    А реально ли пригласить Касперского в подкаст? Было бы очень интересно послушать 🙂

    • 0
      Игорь Соловьев

      Serg, Его приглашали и не раз. Он отказывается.

      • 0
        Игорь Соловьев

        Игорь, И если честно, судя по тому, что он говорит журналистам, он вообще с трудом ориентируется в современном мире. Такое ощущение, что он остался в конце 80-х, когда начинал. Боюсь, что если он прийдет, то это будет просто позорище для него.

        • 0
          Конформист

          Игорь, Я читал лет пять–шесть назад интервью с ним, где он говорил, что за более чем 10 лет, не написал ни одной строчки кода.

        • 0
          Сергей

          Игорь, Не наезжайте на Женю. Он хороший парень. Мы с ним в интернате пуд соли съели.

  26. 0
    Игорь Соловьев

    Все что показано в видео, не является предметом спора. Показано как эксплойт может работать, но это не является предметом спора. Я так и не увидел никаких доказательств существования ботнета. Увы!

  27. 0

    Очень странно. С одной стороны, доказательств нет, ну скачалось два файла, как они могут повысить привелегии на самостоятельный запуск программы?
    Но с другой стороны, dr web не имеет права распространять вирусы. Так что он не сможет это доказать. Только проведя экскурсию по своей лабаратории и показав как он сам может что то запустить, вот тогда поверят.

  28. 0
    Don Alberto

    НЕ выдержал‚ применил свой МЭДСКИЛЛЗ
    вот смотрите: http://dl.dropbox.com/u/14976478/botnet.jpg

  29. 0

    В сообществе ру-мак параллельно тоже идет обсуждение этой новости http://ru-mac.livejournal.com/18301992.html

  30. 0
    Вячеслав

    это доказательство существования вируса, а не БОТНЕТА)

Авторизуйтесь Чтобы оставить комментарий