Эксперты не могут придти к единому мнению, насколько уменьшился размер ботнета Flashback после выпуска обновления Java от Apple и специальной программы для удаления зловреда с компьютера.
Вчера антивирусная компания Symantec опубликовала статистику, что на 16 апреля в ботнете осталось всего 142 тыс. «макинтошей». На 17 апреля прогнозировался остаток более чем в 100 тыс. «гнилых яблок».
Однако, специалисты из других компаний дают кардинально иные оценки. Например, компания «Доктор Веб», вероятно, наиболее компетентна в оценке размеров ботнета, потому что потратила на его изучение более месяца, именно эта компания сообщила миру о существовании бот-сети, расшифровала алгоритм генерации доменных имён C&C-серверов и первой внедрила туда свои собственные C&C-серверы. Так вот, исполнительный директор компании Борис Шаров считает, что количество заражённых машин осталось примерно тем же. Он говорит, что 17 апреля они зарегистрировали около 600 тыс. ботов, а 18 апреля за неполный день — около 460 тыс., при этом к концу дня 18 апреля Борис Шаров прогнозирует те же самые 600 тыс.
Другими словами, по оценке компании «Доктор Веб», ботнет практически не уменьшается в размерах, по сравнению с максимальным своим размером в 650 тыс. заражённых машин (или даже 800 тыс., по новой информации).
По словам Шарова, до сих пор осталось множество людей, которые верят в безопасность «маков», не торопятся с обновлением Java и не проверяют свой «макинтош» на вирусы.
В противовес конкурентам, компания «Лаборатория Касперского» недавно обнародовала свою оценку ботнета 17 апреля в 45 тыс. машин, а за неполный день 18 апреля — 30 тыс., то есть на порядок меньше, чем у «Доктора Веба».
Все компании используют одинаковую технику для оценки размеров ботнета, создавая фальшивые C&C-серверы, но представитель компании «Доктор Веб» говорит, что ни один из конкурентов не контролирует столько доменных имён, сколько они.
Представители Symantec выразили несогласие с оценкой «Доктора Веба». Они говорят, что ни один C&C-сервер сейчас не является активным, так что боты сканируют все сгенерированные адреса C&C-серверов по очереди. Поэтому неважно, сколько из этих доменов вы контролируете для сбора статистики.
Каждый день Flashback генерирует новые адреса для командных серверов, которые могут быть зарегистрированы в одной из пяти зон: .com, .in, .info, .kz, .net.
