Proprio quando si pensava che l’affaire Flashback fosse ormai cosa superata, è arrivata la doccia fredda da parte di Dr.Web, famosa azienda russa sviluppatrice dell’omonima linea di soluzioni software per la sicurezza informatica. Secondo gli esperti di Dr.Web l’infezione diffusasi su vasta scala che nelle ultime settimane ha bersagliato gli utenti di Mac OS X sarebbe ben lungi dall’essere stata completamente debellata. Anzi, il numero delle macchina infette non soltanto sarebbe ancora pari a circa 650.000 unità ma evidenzierebbe i segni di un’ulteriore crescita.
Rilasciando una dichiarazione agli antipodi rispetto a quanto sostenuto nei giorni scorsi da parte di diverse software house (ved. questa notizia), Dr.Web afferma che lo scorso 16 aprile le macchine Mac OS X ancora parte della botnet Flashback erano ben 595.000 mentre il giorno successivo si è registrata una leggera flessione, intorno alle 582.000 unità.
Un portavoce di Symantec, Liam O Murchu, responsabile del centro di risposta per la sicurezza dell’azienda di Sunnyvale (California), ha spiegato che i numeri pubblicati da Dr.Web sarebbero corretti. I tecnici di Symantec avrebbero avviato un confronto con la società russa paragonando i risultati ed analizzando le discrepanze: “Adesso riteniamo che l’analisi di Dr.Web sia corretta“, ha affermato O Murchu aggiungendo che le informazioni trasmesse dal produttore russo spiegano le differenze tra i numeri rilevati da una e dall’altra società.
Kaspersky, che pure aveva registrato una netta diminuzione delle macchine controllate dal trojan Flashback, si è per il momento limitata a precisare di aver avviato ulteriori indagini.
Per Dr.Web, che ha pubblicamente contestato i dati rilasciati dalle altre aziende attive nel campo della sicurezza informatica, l’errore sarebbe stato commesso in forza del particolare algoritmo che il malware impiega per stabilire la locazione dei server command-and-control (i sistemi dai quali Flashback, una volta insediatosi su un sistema Mac OS X, attende di ricevere istruzioni) e per avviare una comunicazione.
“Flashback utilizza un algoritmo molto complesso per generare gli indirizzi dei server command-and-control da contattare“, spiega Dr.Web “La parte più lunga dell’indirizzo remoto viene prodotta ricorrendo ad alcuni parametri già contenuti nel codice del malware; la porzione restante viene calcolata usando la data corrente“. I tecnici dell’azienda russa spiegano di aver preso possesso all’inizio del mese di uno dei domini primari ai quali Flashback cerca di connettersi. È proprio verso questi server primari che ogni istanza di Flashback prova a collegarsi da singolo Mac infetto per poi passare ad “interrogare” altri indirizzi remoti. A partire dallo scorso 16 aprile, Dr.Web ha registrato alcuni domini i cui nomi sono dinamicamente generati da Flashback a partire dalla data del giorno. Grazie alla registrazione di questo secondo “scaglione” di indirizzi, Dr.Web ha potuto tracciare in modo più fedele l’andamento reale delle infezioni malware.
Dopo aver comunicato con i server command-and-control, Flashback si collega verso un indirizzo IP gestito da ignoti: questa macchina avvia un colloquio con i sistemi parte della botnet ma non chiude la connessione TCP. Come risultato, il malware resta in ascolto attendendo una risposta da parte del server e non risponde più ad ulteriori comandi. È questo il comportamento che, secondo Dr.Web, avrebbe tratto in errore Symantec e Kaspersky.
“Dr.Web ha sempre fatto riferimento ad un numero di infezioni elevato ma non è mai decresciuto in modo significativo“, si conclude. Per verificare la presenza del malware ed effettuarne la rimozione, la società suggerisce Dr. Web Light for Mac OS X, utilità pronta per l’uso distribuita a titolo completamente gratuito.
Per maggiori informazioni sulle cause che hanno facilitato una così ampia e radicata diffusione del trojan Flashback, insieme con alcuni suggerimenti per risolvere il problema e prevenire ulteriori aggressioni, vi consigliamo la lettura di questo articolo.