返回新闻列表

卡巴斯基实验室证实Flashfake / Flashback僵尸网络已经感染超过60万台Mac OS X计算机

        卡巴斯基实验室的专家们近期对Flashfake进行了分析,发现一个巨型僵尸网络,该网络已经覆盖了全球超过60万台的计算机,其中98%的受感染计算机运行的操作系统均为Mac OS X的一个版本。为了能感染这些计算机,Flashback僵尸网络背后的网络罪犯安装了Flashfake木马,通过探测Java中的漏洞,在用户无法察觉的情况下进入计算机。分析这个僵尸网络时,卡巴斯基实验室的专家们对Flashfake恶意软件采用了逆向工程技术,并注册了几个可能被网络罪犯用作命令与控制(C&C)服务器的域名。通过这种方法,可以拦截并分析受感染计算机与其它C&C之间的沟通情况和机制。

        分析结果显示,受到感染的60多万台计算机分布于几个主要地区,数量最多的地区为美国(300,917台受感染计算机),紧接着是加拿大(94,625台),然后是英国(47,109台)和澳大利亚(41,600台)。通过启发式“OS指纹”技术,卡巴斯基实验室的研究人员能够判定受感染的计算机运行的是哪种操作系统。研究人员发现,受到Flashfake僵尸网络感染的计算机中,98%的基本上都运行了Mac OS X,另外2%也很可能是Mac计算机。

        Flashfake是OS X恶意软件中的一个家族,首次出现是在2011年9月。之前的恶意软件版本只能依赖于网络罪犯,通过社交网络,诱使用户下载恶意程序并在自己的系统中安装。然而,Flashfake的最新版本并不需要任何用户方面的操作,就能通过“浏览即下载”方式安装到用户的计算机中,只要用户无意中访问到受到感染的网站,该木马便会通过Java漏洞自动下载到计算机。感染后,该木马就会上传额外加载,劫持网页浏览器中的搜索结果,从而进行“点击-欺骗”的欺诈伎俩。

        尽管目前还没有检测到该木马的其它恶意活动,但其危险性不言而喻,因为该恶意程序就像用户计算机中的下载器,在其幕后操控的网络罪犯可以随时发布和更新恶意程序,盗取用户的机密数据,如密码或信用卡信息,并在受感染计算机中直接使用。

        尽管甲骨文公司已经在3个月前发布了针对此漏洞的补丁程序,但苹果公司却推迟到4月2日才将安全更新发布到客户数据库中。还没有更新系统的用户需要尽快安装最新的安全更新,避免受到感染。

        卡巴斯基实验室首席安全专家Alexander Gostev表示:“推迟了3个月才发布安全更新确实是苹果方面在决策上的一次失误。有几方面的原因,首先,苹果不允许甲骨文为Mac安装补丁。尽管他们自己动手,但往往要迟缓几个月。这就意味着Mac用户面临危险的时间比一般计算机用户要长。特别是苹果的反病毒更新规则是一个最基础的反病毒更新流程,直到威胁已经达到一定规模,才会添加新的特征码。苹果早在3个月前就知道了Java中的漏洞,但却一直忽略相应的更新!而这个问题还在恶化,因为直到现在,苹果一直以“恶意软件禁地”标榜其神话般的公司名誉。很多用户并不知道自己的计算机已经受到感染,或者根本没有意识到Mac安全是实实在在的一大威胁。”

        建议Mac OS X用户尽快安装最新的安全更新

        欲了解更多关于Flashfake僵尸网络的相关信息,请访问Securelist网站并阅读卡巴斯基实验室专家Igor Soumenkov撰写的相关文章。