Lamiyi

Kaspersky 社や Symantec 社の報告とは対照的に、Dr. Web 社は Flashback トロイの木馬に感染した Mac の数は大幅に減少していないと述べています。

シマンテックは最近、感染者数が14万に減少したと報告し、カスペルスキーも3万に減少したと報告しました。しかし、Dr. Webはこれに異議を唱え、感染者数は依然として約65万にとどまっていると述べています。

BackDoor.Flashback.39コマンドサーバーの主要ドメインは4月初旬にDoctor Webによって登録され、ボットはまず対応するサーバーにリクエストを送信します。4月16日には、現在の日付に基づいて名前が生成された追加のドメインが登録されました。これらのドメイン名はBackDoor.Flashback.39のすべての亜種で使用されるため、追加のコントロールサーバー名が登録されたことで、グラフに示されている悪意のあるネットワーク上のボットの数をより正確に算出できるようになりました。しかし、トロイの木馬はDoctor Webによって制御されるサーバーと通信した後、身元不明の第三者によって制御されている74.207.249.7のサーバーにリクエストを送信します。このサーバーはボットと通信しますが、TCP接続を閉じません。その結果、ボットはスタンバイモードに切り替わり、サーバーからの応答を待機し、それ以降のコマンドには応答しなくなります。その結果、ボットは他のコマンドセンター（その多くは情報セキュリティ専門家によって登録されています）と通信しません。これが統計上の議論を呼ぶ原因となっています。SymantecとKaspersky LabはBackDoor.Flashback.39ボットの数が大幅に減少したと報告しましたが、一方でDoctor Webはボットの数が大幅に減少していないことを繰り返し報告しています。下の画像は、コマンドセンターへのTCP接続がBackDoor.Flashback.39ボットをフリーズさせる様子を示しています。

Dr. Web は今月初めに BackDoor.Flashback.39 の拡散を最初に報告したサイトです。

続きを読む