Компания «Доктор Веб» продолжает отслеживать состояние крупнейшей на 20 апреля бот-сети, состоящей из компьютеров под управлением Mac OS X. Бот-сеть была обнаружена экспертами «Доктор Веб» 4 апреля 2012 г. На сегодняшний день, по данным «Доктор Веб», в сети BackDoor.Flashback.39 зарегистрировано 817 879 бота, из них ежесуточно активность проявляют в среднем 550 тыс. инфицированных машин. Так, на 16 апреля в бот-сети BackDoor.Flashback.39 было зафиксировано 717 004 уникальных IP-адресов и 595 816 уникальных UUID инфицированных Apple-совместимых компьютеров. 17 апреля статистика продемонстрировала 714 483 уникальных IP и 582 405 уникальных UUID. При этом ежедневно в ботнете BackDoor.Flashback.39 появляются новые инфицированные компьютеры, не зарегистрированные в сети ранее, говорится в сообщении «Доктор Веб». Однако в последнее время в отрытых источниках стали появляться публикации, рассказывающие о сокращении численности бот-нета BackDoor.Flashback.39. Как правило, такие материалы основываются на анализе статистики перехваченных управляющих серверов этой сети. Специалисты «Доктор Веб» провели специальное исследование, ставящее своей целью выяснить причины подобного расхождения статистических данных. Троян BackDoor.Flashback.39 использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троян осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы компанией «Доктор Веб» еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь. 16 апреля были зарегистрированы дополнительные домены, имена которых генерируются на основе даты. Поскольку данные домены используются всеми подверсиями ботнета BackDoor.Flashback.39, регистрация дополнительных доменов управляющих серверов позволила более точно подсчитать размер вредоносной сети. Однако следом за серверами, принадлежащими «Доктор Веб», трояны обращаются с соответствующим запросом к принадлежащему неизвестным лицам командному центру 74.207.249.7, устанавливающему связь с ботами, но не закрывающему TCP-соединение. Это приводит к тому, что боты переходят в режим ожидания ответа сервера и, как следствие, не опрашивают остальные командные центры, многие из которых были специально зарегистрированы специалистами по информационной безопасности. Как пояснили в «Доктор Веб», это и является причиной появления противоречивой статистики от разных антивирусных компаний. С одной стороны, Symantec и «Лаборатория Касперского» заявляли о значительном уменьшении числа ботов, с другой — данные «Доктор Веб» неизменно указывали на существенно большее число инфицированных компьютеров при очень слабой тенденции к их уменьшению.
Источник