Хотя Apple выпустила несколько обновлений программного обеспечения для обнаружения вредоносного ПО Flashback и его удаления из зараженных систем, Symantec вчера вечером отметил, что более 100 000 машин по-прежнему поражены этой проблемой, как обнаружилось благодаря их операции по перенаправлению трафика серверов.

По данным Symantec на понедельник, число составляло примерно 142 000, с приблизительной оценкой «более 99 000» по данным за вчерашний день, которые еще поступали. Эти цифры ниже пиковых значений, составлявших более 600 000 машин две недели назад, но значительное количество машин по-прежнему заражено вредоносным ПО.

Статистика нашего перехвата показывает ежедневное снижение числа заражений. Однако изначально мы полагали, что увидим большее снижение инфекций к этому моменту, но этого не произошло. В настоящее время кажется, что количество зараженных компьютеров замедлилось, но остается около отметки 140 000.

Поскольку в последние несколько дней Symantec и другие поставщики выпустили инструменты, касающиеся этой угрозы, число заражений должно было значительно снизиться.

Symantec также рассматривает генератор доменных имен, который позволяет зараженным машинам подключаться к своим командно-контрольным серверам для получения инструкций. Генератор использует список 14-символьных строк, которые меняются каждый день, сочетая каждую строку с одним из пяти доменов верхнего уровня (.com, .net, .info, .in или .kz) для поиска своих инструкций.

В отчете также утверждается, что системы, зараженные Flashback, могут получать обновленные местоположения командно-контрольных серверов через Twitter, хотя подробности этого процесса не приводятся. Аналогичное заявление было сделано относительно более ранних версий Flashback, хотя, по-видимому, не было демонстрации использования метода доставки через Twitter.