Кроме того, новое вредоносное ПО размещает свои файлы в пользовательские файлы по таким направлениям:
~/Library/LaunchAgents/com.java.update.plist
~/.jupdate
В Intego говорят, что новый троянец уничтожает все файлы и папки в /Library/Caches/Java/cache, чтобы уничтожить апплет с зараженного компьютера Mac и затруднить обнаружение в системе. В блоге компании сказано, что сейчас несколько независимых источников в интернете распространяют новый вариант троянца.
Напомним, что несколько дней назад антивирусная компания "Доктор Веб" сообщила, что по ее данным количество заражений оригинальным вариантом Flashback не идет на спад. По данным компании, на 20 апреля в сети BackDoor.Flashback.39 зарегистрировано 817 879 бота, из них ежесуточно активность проявляют в среднем 550 000 инфицированных машин. Так, на 16 апреля в бот-сети BackDoor.Flashback.39 было зафиксировано 717 004 уникальных IP-адресов и 595 816 уникальных UUID инфицированных Apple-совместимых компьютеров, 17 апреля статистика продемонстрировала 714 483 уникальных IP и 582 405 уникальных UUID. При этом ежедневно в ботнете BackDoor.Flashback.39 появляются новые инфицированные компьютеры, не зарегистрированные в сети ранее.
Троянец Flashback использует сложный алгоритм подбора доменных имен своих управляющих серверов: имена основной части доменов генерируются на основе встроенных в ресурсы вредоносной программы конфигурационных данных, другая часть создается в зависимости от текущей даты. Троянец осуществляет последовательный опрос командных центров в соответствии с заложенными в него приоритетами. Основные домены командных серверов BackDoor.Flashback.39 были зарегистрированы еще в начале апреля, и к ним составляющие сеть боты обращаются в первую очередь.
