天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

苹果Mac系统惊现Flashfake僵尸网络

2012-4-9天空软件佚名
p>         近日,苹果Mac OS X系统惊现名为Flashback(Flashfake)的僵尸网络,预计该僵尸网络的规模有超过500,000台Mac计算机被感染。卡巴斯基实验室安全专家对该僵尸程序的最新变种Trojan-Downloader.OSX.Flashfake.ab进行了分析。

         分析文章中显示,这一僵尸程序利用受感染的网站进行传播,表面上是一个Java程序,但会伪装成Adobe Flash Player的更新程序。Java程序执行后,会下载和安装僵尸程序的主要组件。其主要组件是一个木马下载器,能够不断连接命令控制服务器(C&C),等待下载和执行新的组件。

         僵尸程序利用域名来定位命令控制服务器,域名采用两种算法生成。第一种算法基于当前的日期,而第二种算法则利用存储在僵尸程序本身的几个变量,并采用RC4加密算法同计算机硬件UUID加密生成。

         卡巴斯基实验室安全专家对第一种域名生成算法进行了逆向工程,所使用的日期为2012年4月6日。从而生成和注册了一个域名——"krymbrjasnof.com"。将该域名注册后,成功接收到来自僵尸计算机的日志请求。由于来自僵尸计算机的请求中都包含各自独有的硬件UUID,所以能够计算目前活动的僵尸计算机数量。根据日志记录,在不到24小时内,连接到该服务器的僵尸计算机数量超过60万台。这些被感染计算机共使用超过62万个外部IP地址。其中超过50%的被感染计算机均位于美国。

         活动的Flashfake僵尸计算机地理分布图:

         虽然不能肯定,但也不能否定所有连接到该服务器的被感染计算机全部运行Mac OS X系统。对僵尸计算机所运行操作系统的识别,只能通过其User-Agent HTTP标头id,User-Agent的其他部分则有僵尸程序控制。

         为了求证,卡巴斯基实验室安全专家使用被动操作系统指纹识别技术,对这些僵尸程序的操作系统进行了粗略的估算。其中超过98%的网络数据包似乎都是来自Mac OS X系统的计算机。虽然这一技术基于启发技术,并不完全可靠,但是做数量级的估算还是比较可信的。所以,卡巴斯基实验室安全专家得出结论,目前感染Flashfake僵尸程序的计算机大多都是Mac计算机。下图显示为连接到该服务器的僵尸计算机所运行的操作系统构成情况。

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行