Trojaner infiserer en halv million Mac-er

Trolig største utbrudd noensinne for Mac OS X.

Apples sene fjerning av en sentral Java-sårbarhet kan ha bidratt til den store spredningen av trojaneren Flashback på Mac OS X-maskiner.

Harald Brombach– Journalist

10. apr. 2012 - 08:52

Datamaskiner basert på Mac OS blir svært sjeldent rammet av skadevare, og i de tilfellene det har skjedd, har spredningen vært svært begrenset.

Forrige ukes nyhet om utbredelsen av trojaneren Flashback – også kjent som Flashfake – er derfor oppsiktsvekkende. To ulike, russiske sikkerhetsselskaper, Doctor Web og Kaspersky Labs, skrev begge i midten av forrige uke at Flashback har infisert mellom 550 000 og 620 000 datamaskiner. Antallet er beregnet ut fra antallet unike ID-er og IP-adresser som har blitt av de infiserte bot-ene til å kontakte kontroll- og kommandoserverne (C&C). Nærmere 2/3 av de infiserte maskinene befant seg da i Canada og USA.

ZDNet-kommentatoren Ed Bott har beregnet at omtrent 1 prosent av alle Mac-er kan være smittet. Dette er en andel som tilsvarer den til Conficker.

Ifølge Kaspersky Labs distribueres Flashback via infiserte websider ved hjelp av en Java-applet som utgjør seg for å være en oppdatering til Adobes Flash Player. Trojaneren utnytter en kjent sårbarhet i Java som Apple først skal ha fjernet i begynnelsen av april – nettopp for å stoppe Flashback. Oracle skal ha fjernet den samme sårbarheten den offisielle Java-utgaven i februar, men også Apple leverer og oppdaterer en egen utgave av Java-programvaren for Mac OS X.

De første variantene av Flashback skal ha blitt oppdaget allerede i september i fjor.

Flashback-utgaven som nå har rammet mengder av maskiner, laster først ned ekstra programvare. Dessuten har den en bakdør hvor den lytter til kommandoer fra C&C-servere.

En oppskrift på hvordan man oppdager og fjerner Flashback, finnes her. Det finnes også sikkerhetsprodukter, fra blant annet Intego, som automatiserer denne jobben.

Les også: