|
Java for Macの旧バージョンにある脆弱性を悪用したウイルス感染攻撃。ロシアのセキュリティ会社Doctor Web(Dr.Web)によると、Mac OS X向けマルウェアFlashbackの感染で構築されたボットネット(ゾンビマシン)の規模が60万台以上確認してるとか。下の報告だと55万台としてるけど、中の人がTwitterで60万台以上になってると追加報告してます。 ・ 55万台もの強力なMacボットネットを発見 (Doctor Web) ・ 60万台以上の「Mac」がトロイの木馬「Flashback」に感染か (CNET Japan) 1. アメリカ (56.6%、感染したホスト数 303,449台) 2. カナダ (19.8%、106,379台) 3. イギリス (12.8% 、68,577台) 4. オーストラリア (6.1% 、32,527台) : ?. 日本 (0.1%) それぞれのボットは、コントロールサーバーへ送信するクエリ内に、感染したコンピューターのユニークなIDを含んでいます。Doctor Webのアナリストは、シンクホールテクノロジーを使用してボットネットトラフィックを自身のサーバーへとリダレクトすることで、感染したホストの数を割り出しました。米国が特に多いということで、これはFlashbackマルウェアを配信するための攻撃サイトへ転送させるMacユーザーに縛りがあったことが影響してると思います。たとえば、Safariブラウザだとユーザーエージェントの文字列が↓のようになってると転送されます。 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2; en-us) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22
逆に、↓のようになってると攻撃サイトへは転送されず弾かれます。24時間見張ってたわけじゃないので、この振り分けをどの程度実行してたのかは攻撃者にしか分かりませんが。 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2; ja-jp) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_2) AppleWebKit/534.51.22 (KHTML, like Gecko) Version/5.1.1 Safari/534.51.22 ● 現在のFlashbackマルウェア配信サイトの様子・・・ 昨日4日までこんな感じで稼動してましたが、今日Doctor Webが感染台数や配信サイトのURLなど詳細は情報を出して、かなり騒ぎが大きくなったからなのか、現在は稼働停止状態になってます。攻撃サイトへ転送させるリダイレクターページの1つを見てみると、今はダミーとして検索エンジンBingへ転送される〜。  [追記...] Doctor WebがFlashbackマルウェアの感染マシンが存在する地理情報について発表してます。日本は485台となってます。 ・ BackDoor.Flashback geo statistics |
>
- コンピュータとインターネット
>
- コンピュータ
>
- Macintosh
