Flashfake Removal Tool и сайт онлайн-проверки

После того как в пятницу мы перехватили одно из доменных имен, которые использует Mac-троянец Flashfake, и установили специальный sinkhole-сервер, мы смогли собрать статистику о размере и географическом распределении ботнета. Информацию об этом мы публиковали в прошлом блогпосте.

Мы продолжаем перехват доменных имен и мониторинг размера ботнета. Суммарное количество зафиксированных нами уникальных ботов составляет более 670 тысяч.

Интересно, что в выходные дни (7-8 апреля) нами отмечено значительно снижение числа подключавшихся ботов:

Однако, это не говорит о том, что размер ботнета стремительно уменьшается – данные цифры обусловлены вероятно именно выходными днями.

На протяжении нескольких дней наш сервер регистрировал все данные обращения зараженных компьютеров и собирал базу их уникальных идентификаторов, передаваемых ботом. На основании этой информации мы реализовали специальный сервер онлайн-проверки для всех пользователей Mac OSX, желающих проверить наличие возможного заражения Flashback. Теперь мы можем установить, был ли ваш UUID зафиксирован в базе обращений ботов к нашему sinkhole-серверу.

Подробная информация о том, как пройти данную проверку, и рекомендации, что необходимо сделать в случае заражения, находится на сайте flashbackcheck.com

Пользователи Mac OSX также могут проверить, инфицирован ли их компьютер Flashfake, и удалить вредоносную программу в случае ее наличия, используя специальную утилиту «Лаборатории Касперского».