В среду антивирусная компания Dr.Web опубликовала исследование с оценкой размера ботнета, состоящего из компьютеров Macintosh, заражённых трояном Flashback. Таких уже более 550 тысяч. Самому крупному ботнету в истории OS X удалось поразить более 1% всего парка Macintosh-компьютеров в мире.
Что ещё интереснее, специалисты Dr.Web привели некоторые факты о том, как работает Flashback. Любопытно: он проверяет наличие на компьютере ряда антивирусных программ и некоторых систем мониторинга. Если какая-то из них присутствует, то троян немедленно удаляет себя с компьютера. Таким образом, достаточно установить на компьютере программу Avast, Clam Antivirus, Little Snitch или HTTP Scoop — и вы уже защищены от трояна Flashback, даже если не запускаете программу.
Смешно также посмотреть на программы, которых не боится Flashback, то есть которые отсутствуют в его «чёрном списке». Например, среди них отсутствуют известные антивирусные программы вроде Norton Antivirus, McAfee VirusScan и F-Secure. Выглядит так, словно авторы троянской программы совершенно не опасаются, что антивирусные программы могут их обнаружить, или они невысокого мнения о квалификации пользователей, которые пользуются этим ПО.
Из описания Dr.Web:
После запуска вредоносная программа проверяет наличие на жёстком диске следующих компонентов:
/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app
Если какой-то из этих компонентов обнаружен, то программа прерывает стандартный процесс установки.
В этом списке следует отметить присутствие Xcode — инструментария разработки приложений под Mac OS X и Apple iOS. Его присутствие на компьютере, очевидно, является индикатором технической продвинутости пользователя, с которым лучше не связываться.
