Eset se rozhodl analyzovat malware OSX/Flashback z několika důvodů. Hrozba totiž používala nové techniky ke sledování uživatelů, kteří si prohlížejí webové stránky.
Navíc také využívala hned několik metod připojení k ovládacímu serveru včetně dynamicky generovaných doménových jmen a vyhledávání hashtagů na Twitteru. Sám o sobě je zajímavý i nebývalý rozsah infekce, protože velikost botnetu čítající několik stovek tisíc infikovaných počítačů Mac, nemá zatím obdoby.
„Opravdová epidemie nastala v březnu 2012, kdy hrozba začala využívat zranitelnosti překladače Java dodávaného spolu s Apple OS X. Počátkem dubna jsme nasadili monitorovací systémy, abychom mohli změřit celkový rozsah infekce. Několik týdnů poté, na začátku května, byl odpojen poslední ovládací server botnetu. Od té doby můžeme považovat hrozbu za mrtvou,“ říká Pierre-Marc Bureau, výzkumník firmy Eset.
„Do výzkumu se zapojilo několik týmů ESET. Tým v bratislavské centrále vytvořil pro tento bot generický detekční algoritmus, zatímco týmy v Praze a Montrealu zpětně analyzovaly kód OS X,“ vysvětluje Bureau.
Eset ve spolupráci s ostatními výrobci bezpečnostního softwaru také zachytil maximum doménových adres vytvořených algoritmem domény botnetu, čímž zabránil těm, kdo ho řídili, odesílat příkazy k aktualizacím již infikovaných systémů.
Bližší informace najdete na webu Esetu.