Computerworld News Service: Mere end en halv million Mac-computere var i sidste uge stadig inficeret med Mac-malwaren Flashback.
Antallet falder kun ganske langtsomt, rapporterer det russiske sikkerhedsfirma Dr. Web.
Selv om alle sikkerhedsfirmaerne er enige om, at udbruddet har været på sit højeste og nu er på vej ned, så ser det nu ud til, at det går væsentligt langsommere, end hvad Dr. Webs konkurrenter hidtil har rapporteret.
Efter en ny opgørelse ud fra UUID (universally unique identifier) mener Dr. Web, at botnettet har været helt oppe på at bestå af omkring 817.000 inficerede maskiner, der hver for sig kaldes bots, hvor gennemsnitligt 550.000 maskiner kontaktede command and control-serverne i løbet af en given 24 timers periode.
Flere end forventet
19. april bestod botnettet af 566.000 Mac-computere.
Det er noget mindre end de 673.000 maskiner, det bestod af tre dage tidligere, men stadig væsentligt flere end i Symantecs estimat fra sidste uge, om at botnettet var skrumpet ind til 270.000 maskiner, og end Kasperskys estimat på 237.000 maskiner fra 15. april.
Denne forvirring kan have noget at gøre med, om man måler botnettet per IP-adresser eller UUID'er, samt hvornår man foretager målingen.
Dr. Web mener dog, at firmaet har fundet en bedre forklaring på denne uoverensstemmelse, som angiveligt har at gøre med forsøg fra en unavngiven aktør (formentligt et sikkerhedsfirma) på at blokere botnettets aktivitet.
En del inficerede maskiner har forbundet til en server på IP-adressen 74.207.249.7, som har lukket dem ude fra det øvrige botnet.
Det betyder, at disse bots heller ikke længere kan kommunikere med sikkerhedsfirmaernes såkaldte sinkholes og derfor ikke bliver registreret som aktive, på trods af at de stadig er inficerede med Flashback.
"Dette er årsagen til kontroversen, der består i, at Symantec og Kaspersky Lab på den ene side har rapporteret om en væsentlig nedgang i antallet af Backdoor.Flashback.39-bots, mens Dr. Web på den anden side gang på gang har oplyst om et langt større antal bots, som ikke viser tendens til at falde væsentligt," forklarer firmaet.
Mindst ét andet sikkerhedsfirma - Mac-sikkerhedsspecialisten Intego - er enig med Dr. Webs påstand om, at omfanget af Flashback for nyligt er blevet undervurderet.
"Intego har analyseret malwaren, og har efter at talt med andre sikkerhedsfirmaer fastslået, at ikke alene er disse lavere estimater forkerte, men de undervurderer også antallet af inficerede Macs," skriver Intego i et blogindlæg fredag.
Hvis dette er korrekt, betyder det i det mindste, at en masse inficerede Mac-computere nu er i en form for i dvaletilstand, hvad angår deres kapacitet som bots, og er således formentlig uden for rækkevidde for botnettets kontrolservere.
Oversat af Thomas Bøndergaard
