Računalništvo, telefonija
20.09.2012 11:17

Deli z drugimi:

Share

Analiza trojanca Flashback

Pri ESET-u, vodilnem proizvajalcu proaktivne protivirusne zaščite, so opravili podrobno analizo trojanskega konja Flashback in prišli do nekaterih zanimivih zaključkov, ki jih lahko upoštevate pri zaščiti svojega Maca doma ali v službi.
Trojanski konji in spletne kamere
Trojanski konji in spletne kamere

OSX/Flashback je daleč najbolj razširjena škodljiva koda, ki napada računalnike Mac. Med preiskavo so pri ESET-u odkrili omrežje okuženih računalnikov, ki ga je sestavljalo na stotisoče Macov. Prvo zaznavo za OSX/Flashback so pri ESET-u med zbrike virusnih definicij dodali v septembru 2011.

“Pravi vzpon smo zabeležili v marcu 2012, takrat, ko se je grožnja začela širiti z izrabljanjem varnostne luknje v Javi, ki jo vključujejo računalniki Apple OS X. V prvih dneh aprila smo vzpostavili sistem za opazovanje, želeli smo boljši vpogled v samo razsežnost in stopnjo okuženosti. Že po nekaj tednih, na začetku maja 2012, je bil ugasnjen zadnji strežnik za nadzor nad okuženimi računalniki. Lahko rečemo, da je omrežje okuženih računalnikov od takrat praktično mrtvo,” je povedal Pierre-Marc Bureau, raziskovalec pri ESET-u.

Pri ESET-u so se za raziskovanje trojanskega konja OSX/Flashback odločili iz več razlogov. Ta uporablja nove tehnike za vohunjenje med brskanjem uporabnikov po spletu, s strežnikom za nadzor se povezuje z več metodami, sposoben je dinamičnega generiranja domenskih imen in iskanja ukazov na Twitterju. Poleg tega je bila zanimiva tudi sama razsežnost grožnje, saj je omrežje okuženih računalnikov, ki ga sestavlja na stotisoče Macov, še nevideno.

“Pri raziskovanju so sodelovale različne ekipe iz ESET-a. Na sedežu podjetja v Bratislavi je prva ekipa razvila generični algoritem za zaznavo, medtem pa so ekipe v Pragi in Montrealu opravljale povratno inženirstvo škodljive kode za OS X,” dodaja Bureau.

Primarni cilj ESET-a je od vedno zaustavljanje računalniških groženj, zaradi razsežnosti OSX/Flashback pa so morali opraviti dve aktivnosti. Najprej je bilo potrebno o ogroženosti obvestiti uporabnike in v primeru, da so bili že okuženi, njihove računalnike tudi očistiti. Zatem so skupaj z ostalimi razvijalci varnostnih rešitev poskušali registrirati čim več domen, ki jih je generiral algoritem omrežja in tako preprečiti upravljalcem, da bi pošiljali ukaze na že okužene računalnike.

Članek je pripravljen v sodelovanju s partnerjem SI SPLET d.o.o.
Za več informacij so vam na voljo pri SI SPLET d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SI SPLET d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.



Prijavi napako v članku