Doctor Web: Keine Entwarnung beim BackDoor.Flashback.39-Botnet

Veröffentlicht am von

Täglich infizieren sich neue Macs

Pressemeldung der Firma Doctor Web Deutschland GmbH

Die Sicherheitsspezialisten von Doctor Web haben Anfang April das weltweite Botnet entdeckt und geben keine Entwarnung. Kürzliche Meldungen berichten irrtümlich über einen Rückgang der mit http://vms.drweb.com/…„>BackDoor.Flashback.39 infizierten Macs. Doctor Web hat aber Statistiken erhoben, die über 650.000 infizierte Macs nachweisen und somit jene Meldungen widerlegen.

Pierre Curien, Geschäftsführer Deutschland bei Doctor Web: „In letzter Zeit tauchen Meldungen über einen Rückgang der Epidemie von BackDoor.Flashback.39 auf. Diese basieren in der Regel auf abgefangenen Daten von Servern des bösartigen Netzwerks. Unsere Analysten haben die Ursachen der Unterschiede untersucht und konnten so die Meldungen widerlegen. Es gibt keine Entwarnung, denn täglich tauchen neue infizierte PCs im Botnet auf.“

Das Botnet von BackDoor.Flashback.39 besteht zum jetzigen Zeitpunkt aus 817.879 registrierten Bots. Täglich werden durchschnittlich 550.000 infizierte Macs aktiv. Am 16. April wurden im Botnet 717.004 unikale IP-Adressen und 595.816 UUIDs infizierter Apple-kompatibler Computer registriert. Am 17. April lag die Anzahl von IP-Adressen bei 714.483, die Anzahl von UUIDs bei 582.405. Das nachfolgende Diagramm zeigt die Wachstumsdynamik des Botnets vom 3. bis zum 19. April 2012.

Der Trojaner BackDoor.Flashback.39 verwendet eine komplexe Selektionsmethode für Domainnamen der Verwaltungsserver. Die Domainnamen werden anhand der im Schädling integrierten Konfigurationsdaten und je nach aktuellem Datum zusammengestellt. Der Trojaner führt dann eine konsequente Befragung von Kommandozentren durch. Die Hauptdomainnamen der Verwaltungsserver von BackDoor.Flashback.39 wurden von Doctor Web bereits Anfang April registriert. Die infizierten Computer greifen auf diese Domains in erster Linie zu. Am 16. April wurden Domains registriert, die je nach aktuellem Datum generiert werden. Da diese Domains von allen Varianten des BackDoor.Flashback.39-Botnets verwendet werden, konnte man durch die Registrierung zusätzlicher Verwaltungsserver die Größe des Botnets kalkulieren. Das lässt sich am Diagramm feststellen. Die Trojaner greifen auch auf das Kommandozentrum 74.207.249.7 zu, das Verbindungen zu Bots herstellt, die TCP-Verbindung aber nicht abbricht. Das führt dazu, dass Bots auf Antworten des Servers warten und folglich andere Server befragen, die extra für die Erforschung des Botnets von Doctor Web registriert wurden. Hier liegt die Ursache für unterschiedliche Statistiken, die Antivirenhersteller wie Symantec und Kaspersky vorweisen. Am nachfolgenden Bild können Sie sich ein Beispiel der TCP-Verbindung zu einem Kommandozentrum ansehen, das BackDoor.Flashback.39 -Bots aufhängen lässt.

Doctor Web warnt nochmals vor BackDoor.Flashback.39 und fordert alle Mac-Benutzer auf, das nötige Java-Update zu installieren. Ihren Computer können Sie auf BackDoor.Flashback.39 unter www.drweb.com/flashback überprüfen. Um den Trojaner zu entfernen, benutzen Sie das Gratis-Programm http://www.freedrweb.com/…„>Dr.Web für Mac OS X Light.



Firmenkontakt und Herausgeber der Meldung:
Doctor Web Deutschland GmbH
Rodenbacher Chaussee 6
63457 Hanau
Telefon: +49 (6039) 939-5414
Telefax: +49 (6039) 939-5415
http://www.drweb-av.de

Das russische Unternehmen Doctor Web Ltd. ist einer der führenden Hersteller von Antivirus- und Anti-Spam-Lösungen mit Hauptsitz in Moskau. Das Doctor Web Team verfügt über eine 20-jährige Erfahrung in der Anti-Malware-Entwicklung und beschäftigt weltweit 190 Mitarbeiter, davon 100 im Research & Development. Doctor Web ist nicht nur Pionier, sondern auch einer der wenigen Anbieter, die ihre Lösungen vollständig innerbetrieblich entwickeln. Das Unternehmen legt großen Wert auf die effektive Beseitigung von Kundenproblemen und bietet schnelle Antworten auf akute Virengefahren. Die umfangreiche Produktpalette von Doctor Web umfasst effiziente Lösungen zur Absicherung von einzelnen Arbeitsplätzen bis hin zu komplexen Netzwerken. Im deutschsprachigen Raum werden die Produkte von der Doctor Web Deutschland GmbH in Hanau vertrieben. Zu den nationalen und internationalen Kunden zählen neben privaten Anwendern namhafte börsennotierte Unternehmen wie Die Bank von Russland, die Russische Bahn, Gazprom oder Arcelor Mittal sowie Bildungseinrichtungen und öffentliche Auftraggeber wie das Russische Verteidigungsministerium. Weitere Informationen finden Sie unter www.drweb-av.de


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.