Actu
Doctor Web annonce que le nombre de Mac enrôlés dans le botnet Backdoor.Flashback.39 n’a pas diminué
avril 2012 par DrWeb
Doctor Web continue à suivre l’évolution du plus grand botnet pour Mac OS X connu à ce jour,
détecté par les experts Doctor Web le 4 avril 2012. Des informations sur la diminution du nombre
de mac infectés par le BackDoor.Flashback.39 apparaissent dans différentes sources, mais Doctor
Web possède d’autres données statistiques à ce sujet : le nombre de mac infectés reste au même
niveau de 650 000.
Aujourd’hui, selon les données Doctor Web, le réseau
BackDoor.Flashback.39 comporte 817 879 bots, parmi eux en moyenne 650 000 mac restent actifs
toutes les 24 heures. Ainsi, le 16 avril, 717 004 adresses IP uniques et 595 816 UUID uniques
d’ordinateurs Apple ont été enregistrés sur le réseau BackDoor.Flashback.39. Dans le même temps,
de nouveaux ordinateurs rejoignent le botnet chaque jour. Voici un schéma reflétant les
modifications du nombre de Mac dans le réseau BackDoor.Flashback.39 du 3 au 20 avril 2012.
Nombre de Mac dans le réseau BackDoor.Flashback.39 du 03 au 19 avril 2012
Ces derniers jours, de nombreuses sources relaient l’information selon laquelle le nombre de bot
dans le botnet BackDoor.Flashback.39 diminue. En général, ces données sont basées sur les analyses
des statistiques des serveurs du botnet qui ont été interceptés. Les spécialistes Doctor Web ont
effectué une recherche ciblée pour trouver les raisons de telles différences entre les statistiques.
Le trojan BackDoor.Flashback.39 utilise un algorithme complexe pour le choix des noms de
domaines de ses serveurs de gestion : les noms de la plupart des domaines sont générés en utilisant
les paramètres de configuration intégrés dans les ressources du logiciel malveillant, les autres noms
sont fonction de la date courante. Le trojan envoie successivement des requêtes aux serveurs de
gestion selon les priorités préconfigurées. La plupart des serveurs de gestion qui ont été enregistrés
par Doctor Web début avril étaient ceux que les bots contactaient en premier lieu. Le 16 avril, des
domaines supplémentaires ont été enregistrés, leurs noms sont générés en fonction de la date
courante. Ces derniers sont utilisés par tous les bots du BackDoor.Flashback. L’enregistrement de ces
domaines supplémentaires a permis de mieux calculer le nombre de bots, ce qui est reflété
clairement dans le schéma. Mais après avoir contacté les serveurs de gestion appartenant à Doctor
Web, les trojans lancent une demande à un autre serveur de gestion, 74.207.249.7, appartenant à
des inconnus. Ce serveur se connecte avec les bots mais ne ferme pas la connexion TCP. Ainsi, les
bots se mettent en mode d’attente de réponse du serveur et n’envoient plus de demandes aux
autres serveurs de gestion enregistrés par les spécialistes antivirus. C’est là la raison de l’apparition
de statistiques contradictoires de la part de Symantec et de Kaspersky selon lesquelles le nombre de
bots sur BackDoor.Flashback diminue considérablement, alors que Doctor Web insiste sur
l’augmentation du nombre de bots et une tendance peu importante à la diminution. Voici l’image
montrant un exemple de connexion TCP avec le serveur de gestion provoquant le plantage des bots
sur BackDoor.Flashback.39.
Doctor Web alerte de nouveau les utilisateurs de Mac OS X sur le danger lié à l’infection par le
BackDoor.Flashback.39, et les appelle à installer les mises à jour Java et à scanner leurs ordinateurs
gratuitement via https://www.drweb.com/flashback/ . Pour supprimer le trojan vous pouvez utiliser le logiciel gratuit Dr.Web pour Mac OS X Light.
