Doctor Web: Keine Entwarnung beim BackDoor.Flashback.39-Botnet

Die Sicherheitsspezialisten von Doctor Web haben Anfang April das weltweite Botnet entdeckt und geben keine Entwarnung. Kürzliche Meldungen berichten irrtümlich über einen Rückgang der mit BackDoor.Flashback.39 infizierten Macs. Doctor Web hat aber Statistiken erhoben, die über 650.000 infizierte Macs nachweisen und somit jene Meldungen widerlegen.

Pierre Curien, Geschäftsführer Deutschland bei Doctor Web: "In letzter Zeit tauchen Meldungen über einen Rückgang der Epidemie von BackDoor.Flashback.39 auf. Diese basieren in der Regel auf abgefangenen Daten von Servern des bösartigen Netzwerks. Unsere Analysten haben die Ursachen der Unterschiede untersucht und konnten so die Meldungen widerlegen. Es gibt keine Entwarnung, denn täglich tauchen neue infizierte PCs im Botnet auf."


Das Botnet von BackDoor.Flashback.39 besteht zum jetzigen Zeitpunkt aus 817.879 registrierten Bots. Täglich werden durchschnittlich 550.000 infizierte Macs aktiv. Am 16. April wurden im Botnet 717.004 unikale IP-Adressen und 595.816 UUIDs infizierter Apple-kompatibler Computer registriert. Am 17. April lag die Anzahl von IP-Adressen bei 714.483, die Anzahl von UUIDs bei 582.405. Das nachfolgende Diagramm zeigt die Wachstumsdynamik des Botnets vom 3. bis zum 19. April 2012.

Der Trojaner BackDoor.Flashback.39 verwendet eine komplexe Selektionsmethode für Domainnamen der Verwaltungsserver. Die Domainnamen werden anhand der im Schädling integrierten Konfigurationsdaten und je nach aktuellem Datum zusammengestellt. Der Trojaner führt dann eine konsequente Befragung von Kommandozentren durch. Die Hauptdomainnamen der Verwaltungsserver von BackDoor.Flashback.39 wurden von Doctor Web bereits Anfang April registriert. Die infizierten Computer greifen auf diese Domains in erster Linie zu. Am 16. April wurden Domains registriert, die je nach aktuellem Datum generiert werden. Da diese Domains von allen Varianten des BackDoor.Flashback.39-Botnets verwendet werden, konnte man durch die Registrierung zusätzlicher Verwaltungsserver die Größe des Botnets kalkulieren. Das lässt sich am Diagramm feststellen. Die Trojaner greifen auch auf das Kommandozentrum 74.207.249.7 zu, das Verbindungen zu Bots herstellt, die TCP-Verbindung aber nicht abbricht. Das führt dazu, dass Bots auf Antworten des Servers warten und folglich andere Server befragen, die extra für die Erforschung des Botnets von Doctor Web registriert wurden. Hier liegt die Ursache für unterschiedliche Statistiken, die Antivirenhersteller wie Symantec und Kaspersky vorweisen. Am nachfolgenden Bild können Sie sich ein Beispiel der TCP-Verbindung zu einem Kommandozentrum ansehen, das BackDoor.Flashback.39 -Bots aufhängen lässt.

Doctor Web warnt nochmals vor BackDoor.Flashback.39 und fordert alle Mac-Benutzer auf, das nötige Java-Update zu installieren. Ihren Computer können Sie auf BackDoor.Flashback.39 unter www.drweb.com/flashback überprüfen. Um den Trojaner zu entfernen, benutzen Sie das Gratis-Programm Dr.Web für Mac OS X Light.

Quelle: pressebox