Las noticias reportaron que el número de equipos Mac OS X infectados por FlashBack Trojan llegó hasta los 600.000, y que a día de de hoy decrece con cierta velocidad, después de los esfuerzos de Apple, la comunidad de empresas antimalware y el ecosistema de desarrolladores de software que están tomando las medidas a su alcance - como el caso de Firefox -.
Figura 1: Estimación de infectados por Symactec |
Sin embargo, desde Intego han hecho una interesante reflexión que ha levantado las alarmas en cuanto al tamaño de la infección conseguida, al analizar el funcionamiento de la búsqueda del Panel de Control (C&C) de la botnet por parte de sus víctimas, que es lo que se está utilizando para calcular los tamaños.
FlashBack Trojan lleva en su código un sistema de búsqueda del C&C basado en la generación de un dominio nuevo cada día. Este dominio, como se puede ver en el gráfico generado por Symantec, es buscado en varios Top Level Domains (TLD), es decir, en .net, .com, etcétera.
Figura 2: Algoritmo de generación de nombres para el C&C |
Cuando un equipo encuentra el dominio en el TLD .net, no continúa buscando en los otros. El error ha sido generado porque las cuentas se han basado siempre en que se conectaba a todos los TLD, con lo que bastaba con monitorizar uno de ellos para tener el número total de los infectados.
Dr. Web, la primera firma que estimó el tamaño de la botnet, ha confirmado este comportamiento por parte de los bots, por lo que parece que las previsiones de que ahora mismo estemos en algo menos de 30.000 equipos infectados parecen erróneas, y el número total de equipos infectados puede haber sido mucho mayor que los 600.000 reportados incialmente. En cualquier caso, toma precauciones para no ser uno de ellos, sean ellos cuantos sean.
No hay comentarios:
Publicar un comentario