Los reportes de la semana pasada sobre el descenso brusco de las infecciones por el malware Flashback puede ser prematuro. Un nuevo reporte de Dr. Web indica que 566,000 Mac están aún infectadas, con nuevos contagios diariamente.

La comunidad Mac suspiró colectivamente la semana pasada cuando Symantec publicó un reporte que indica que la epidemia de malware Flashback parece haber disminuido drásticamente.

En el reporte, Symantec dice que el número de infecciones ha disminuido de 380,000 el 10 abril a 270,000 el 11 de abril. Los laboratorios Kaspersky reportaron un decremento similar, con el número de computadoras infectadas cayendo a 237,000 de acuerdo a su monitoreo.

Pero la compañía rusa de seguridad, que reportó primero la noticia de un gran número de computadoras Mac infectadas, dijo hoy que las herramientas de monitoreo de Symantec están equivocadas. No sólo la infección no ha disminuido, dijo Dr. Web, sino que computadoras recién infectadas continúan uniéndose diariamente a la botnet.

De acuerdo con Dr. Web, 817 879 bots están conectadas a la botnet BackDoor.Flashback.39 en un momento u otro y en promedio 550 000 máquinas infectadas interactúan con un servidor de control las 24 hrs. El 16 de abril, fueron registradas 717 004 direcciones IP únicas y 595 816 UUID de Mac en la botnet, mientras que el 17 de abril las cifras fueron 714 483 IP únicas y 582 405 UUID. Del mismo modo existen computadoras infectadas que no fueron registradas antes en la botnet y que se unen a ella cada día. La siguiente gráfica muestra el número de bots en la BackDoor.Flashback.39 desde el 3 hasta el 19 de abril del 2012:

Fuente: Dr. Web

De acuerdo con la gráfica, el número de infecciones disminuye lentamente debido a que las Mac son limpiadas. Pero nuevas infecciones aparecen al mismo tiempo. El 19 de abril, Dr. Web indicó que aún existen 566,000 Mac infectadas, basado en los ID unicos que representan a los miembros de la botnet.

¿Por qué la discrepancia entre los números de ambos investigadores-

De acuerdo con la investigación de Dr. Web, el proceso de medición es sencillo, basado en el comportamiento de las máquinas infectadas:

La red BackDoor.Flashback.39 usa una complicada rutina para generar el nombre de los servidores de control: gran parte del domino se genera usando parámetros embebidos en los recursos del malware, otros se crean usando la fecha actual. El troyano envía peticiones consecutivas a los servidores de acuerdo a prioridades predefinidas. Los dominios principales para los servidores del BackDoor.Flashback.39 fueron registrados por Dr. Web a comienzos de abril y los bots primero mandan peticiones a los correspondientes servidores. El 16 de abril se registraron dominios adicionales cuyos nombres son generados usando la fecha actual. A partir de que estos nombres de dominio son usados por toda las variantes del malware, el registro de nombres adicionales de servidores de control ha permitido calcular con mayor precisión el número de bots de la red maliciosa, el cual está indicado en la gráfica.

Hasta aquí todo bien. Pero en ese punto un servidor, controlado por un tercero no identificado, lanzó una llave inglesa a la maquinaria:

Sin embargo, después de comunicarse con los servidores controlados por Doctor Web, los troyanos mandan solicitudes al servidor con la dirección 74.207.249.7, controlado por un tercero. Este servidor se comunica con los bots pero no cierra la conexión TCP. Como resultado, los bots cambian a modo standby en espera de una respuesta y no obedecen a otras indicaciones. Consecuentemente, no se comunican con otros centros de comando, muchos de los cuales fueron registrados por los especialistas de seguridad de la información. Ésta es la causa de las estadísticas controvertidas.

Si esos números son correctos, entonces Apple tiene mucho trabajo por hacer. Sin ir tan lejos, Apple lanzó tres actualizaciones de Java, la más reciente fue diseñada para limpiar las infecciones de Mac que corren OS X Lion y Mac OS X 10.6 (Snow Leopard). Pero estas actualizaciones sólo son efectivas si están instaladas y los investigadores de seguridad notaron que los usuarios evitan las actualizaciones. Adicionalmente, cerca del 17% de los usuarios de Mac, o una población total de más de 10 millones, están ejecutando versiones anteriores del SO X que no son candidatas para las actualizaciones de seguridad y sólo se pueden proteger deshabilitando Java por completo.