Hanau, 20. April 2012

Die Sicherheitsspezialisten von Doctor Web verfolgen die Lage um das zur Zeit größte Botnet aus Macs weiter. In letzter Zeit erscheinen immer wieder Meldungen, wo über zurückgehende Anzahl der von BackDoor.Flashback.39 infizierten Macs berichtet wird. Die Sicherheitsexperten von Doctor Web verfügen aber über Statistiken, die 650 000 infizierte Macs aufweisen und die verbreiteten Informationen widerlegen.

Das Botnet von BackDoor.Flashback.39 besteht zum jetzigen Zeitpunkt aus 817 879 registrierten Bots. Täglich werden durchschnittlich 550 000 infizierte Macs aktiv. Am 16. April wurden im Botnet 717 004 unikale IP-Adressen und 595 816 UUIDs infizierter Apple-kompatibler Computer registriert. Am 17. April lag die Anzahl von IP-Adressen bei 714 483, die Anzahl von UUIDs – bei 582 405. Täglich tauchen im Botnet neue infizierte PCs auf. Das nachfolgende Diagramm zeigt die Wachstumsdynamik des Botnets vom 3. bis zum 19. April 2012.

BackDoor.Flashback.39-Botnet vom 3. bis zum 19. April 2012

In letzter Zeit tauchen Meldungen auf, wo über die zurückgehende Epidemie von BackDoor.Flashback.39 berichtet wird. Diesen Meldungen liegen in der Regel abgefangene Daten von Servern des böswilligen Netzwerks zugrunde. Die Sicherheitsexperten von Doctor Web haben eine Studie durchgeführt, um die Ursachen der Unterschiede in Statistiken herauszufinden.

Der Trojaner BackDoor.Flashback.39 verwendet eine komplexe Selektionsmethode für Domainnamen der Verwaltungsserver. Die Domainnamen werden anhand der im Schädling integrierten Konfigurationsdaten und je nach aktuellem Datum zusammengestellt. Der Trojaner führt dann eine konsequente Befragung von Kommandozentren durch. Die Hauptdomainnamen der Verwaltungsserver von BackDoor.Flashback.39 wurden von Doctor Web bereits Anfang April registriert. Die infizierten Computer greifen auf diese Domains in erster Linie zu. Am 16. April wurden Domains registriert, die je nach aktuellem Datum generiert werden. Da diese Domains von allen Varianten des BackDoor.Flashback.39-Botnets verwendet werden, konnte man durch die Registrierung zusätzlicher Verwaltungsserver die Größe des Botnets kalkulieren. Das lässt sich am Diagramm feststellen. Die Trojaner greifen auch auf das Kommandozentrum 74.207.249.7 zu, das Verbindungen zu Bots herstellt, die TCP-Verbindung aber nicht abbricht. Das führt dazu, dass Bots auf Antworten des Servers warten und folglich andere Server befragen, die extra für die Erforschung des Botnets von Doctor Web registriert wurden. Hier liegt die Ursache für unterschiedliche Statistiken, die Antivirenhersteller wie Symantec und Kaspersky vorweisen. Am nachfolgenden Bild können Sie sich ein Beispiel der TCP-Verbindung zu einem Kommandozentrum ansehen, das BackDoor.Flashback.39-Bots aufhängen lässt.

Doctor Web warnt nochmals vor BackDoor.Flashback.39 und fordert alle Mac-Benutzer auf, das nötige Java-Update zu installieren. Ihren Computer können Sie auf BackDoor.Flashback.39 unter www.drweb.com/flashback überprüfen. Um den Trojaner zu entfernen, benutzen Sie das Gratis-Programm Dr.Web für Mac OS X Light.