Фахівці компанії «Доктор Веб» провели спеціальне дослідження, яке дало змогу оцінити картину поширення троянської програми BackDoor.Flashback, що заражає комп'ютери, що працюють під управлінням операційної системи Mac OS X. Зараз в ботнет BackDoor.Flashback діє більш 550 000 інфікованих робочих станцій, велика частина яких розташована на території США і Канади. Це в черговий раз спростовує заяви деяких експертів про відсутність загроз для користувачів «маків».
Зараження троянцем BackDoor.Flashback.39 здійснюється з використанням інфікованих сайтів і проміжних TDS (Traffic Direction System, систем розподілу трафіку), що перенаправляє користувачів Mac OS X на шкідливий сайт. Таких сторінок фахівцями «Доктор Веб» було виявлено досить багато - всі вони містять Java-скрипт, що завантажує в браузер користувача Java-аплет, який, в свою чергу, містить експлойт. Серед недавно виявлених шкідливих сайтів фігурують, зокрема:
/ Library / Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/ Applications / VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/ Applications / Packet Peeper.app
Якщо зазначені файли виявити не вдалося, то троянець формує за певним алгоритмом список керуючих серверів, відсилає повідомлення про успішну установку на створений зловмисниками сервер статистики і виконує послідовний опитування командних центрів.
Кожен з ботів передає керуючому сервера в рядку запиту унікальний ідентифікатор інфікованого комп'ютера. З використанням методу sinkhole фахівцям компанії «Доктор Веб» вдалося перенаправити трафік ботнету на власні сервери, що дозволило здійснити підрахунок інфікованих вузлів.
Для того щоб убезпечити свої комп'ютери від можливості проникнення троянця BackDoor.Flashback.39 фахівці компанії «Доктор Веб» рекомендують користувачам Mac OS X завантажити і встановити пропоноване корпорацією Apple оновлення безпеки: support.apple.com/kb/HT5228.