Apple-botnet krimpt niet

Doctor Web ziet op 16 april dat er 717.000 unieke IP-adressen en 595.816 Mac UUID’s zijn geregistreerd op het botnet. Een dag later zijn het er 714.000 en 582.000. Bovendien zitten er elke dag nieuwe adressen bij.

Eerder meldden de beveiligers Symantec en Kaspersky dat het aantal zombies heel snel was afgenomen afgelopen week. Symantec meldde een reductie van 60 procent en Kaspersky telde zelfs nog maar 30.000 geïnfecteerde systemen. Beide erkennen inmiddels dat er geen sprake is van een afname.

Tellingen verkeerd

Het verschil tussen de tellingen is veroorzaakt door de gecompliceerde communicatie van Flashback. “De server communiceert met de bots maar legt geen TCP-verbinding. Daardoor gaan de bots over in een stand-by-stand terwijl ze wachten op antwoord van de server. Ze luisteren niet langer naar andere commando’s. Daardoor communiceren ze niet met andere commandocentra, waarvan er veel geregistreerd worden door beveiligers als Kaspersky en Symantec”, aldus Doctor Web.

Wat de reden is dat het botnet niet kleiner wordt, is niet geheel duidelijk. Vermoed wordt dat veel Apple-gebruikers de patches en tools nog altijd niet gebruiken.

Flashback maakt gebruik van een lek in Java, waar Apple pas 7 weken later een patch voor uitbracht dan Oracle.