Le 20 avril 2012

Doctor Web continue de suivre l’évolution du plus grand botnet pour Mac OS X connu à ce jour, détecté par les experts Doctor Web le 4 avril 2012. Des informations sur la diminution du nombre de mac infectés par le BackDoor.Flashback.39 apparaissent dans différentes sources, mais Doctor Web possède d’autres données statistiques à ce sujet : le nombre de mac infectés reste au même niveau de 650 000.

Aujourd’hui, selon les données Doctor Web, le réseau BackDoor.Flashback.39 comporte 817 879 bots, parmi eux en moyenne  650 000 mac restent actifs toutes les 24 heures. Ainsi, le 16 avril, 717 004 adresses IP uniques et 595 816 UUID uniques d’ordinateurs Apple ont été enregistrés sur le réseau BackDoor.Flashback.39. Dans le même temps, de nouveaux ordinateurs rejoignent le botnet chaque jour. Voici un schéma reflétant les modifications du nombre de Mac dans le réseau BackDoor.Flashback.39 du 3 au 20 avril 2012.

Le nombre de Mac dans le réseau BackDoor.Flashback.39 du 3 au 20 avril 2012.

Ces derniers jours, de nombreux  articles relaient l’information selon laquelle le nombre de bot dans le botnet BackDoor.Flashback.39 diminue. En général, ces articles sont basés sur les analyses des statistiques des serveurs du botnet qui ont été interceptés. Les spécialistes Doctor Web ont effectué une recherche ciblée pour trouver les raisons de telles différences entre les statistiques.

Le trojan BackDoor.Flashback.39 utilise un algorithme complexe pour le choix des noms de domaines de ses serveurs de gestion : les noms de la plupart des domaines sont générés en utilisant les paramètres de configuration intégrés dans les ressources du logiciel malveillant, les autres noms sont fonction de la date courante.  Le trojan envoie successivement des requêtes aux  serveurs de gestion selon les priorités préconfigurées. La plupart des serveurs de gestion qui ont été enregistrés par Doctor Web début avril étaient ceux que les bots contactaient en premier lieu. Le 16 avril, des domaines supplémentaires ont été enregistrés, leurs noms sont générés en fonction de la date courante. Ces derniers sont utilisés par tous les bots du BackDoor.Flashback.39. L'enregistrement de ces domaines supplémentaires a permis de mieux calculer le nombre de bots, ce qui est reflété clairement dans le schéma. Mais après avoir contacté les serveurs de gestion appartenant à Doctor Web, les trojans lancent une demande à un autre serveur de gestion, 74.207.249.7, appartenant à des inconnus. Ce serveur se connecte avec les bots mais ne ferme pas la connexion TCP. Ainsi, les bots se mettent en mode d'attente de réponse du serveur et n'envoient plus de demandes aux autres serveurs de gestion enregistrés par les spécialistes antivirus. C’est là la raison de l'apparition de statistiques contradictoires de la part de Symantec et de Kaspersky selon lesquelles le nombre de bots sur BackDoor.Flashback.39 diminue considérablement alors que Doctor Web insistait sur l’augmentation du nombre de bots et une tendance peu importante à la diminution. Voici l'image montrant un exemple de connexion TCP avec le serveur de gestion provoquant le plantage des bots sur BackDoor.Flashback.39.

Doctor Web alerte de nouveau les utilisateurs de Mac OS X sur le danger lié à l'infection par le BackDoor.Flashback.39, et les appelle à installer les mises à jour Java et à scanner leurs ordinateurs gratuitement via https://www.drweb.fr/flashback/. Pour supprimer le trojan veuillez utiliser le logiciel gratuit Dr.Web pour Mac OS X Light.