Symantec: toch veel meer Flashback-infecties

Securityleverancier Symantec heeft het aantal Mac-infecties door de Flashback-malware veel te laag ingeschat. Het heeft een verkeerde telmethode gehanteerd.

Symantec erkent de eigen fout nu. Hiermee is er overeenstemming met het Russische securitybedrijf Dr. Web. Die constateerde eerder dat de malware nog flink actief is. De afgelopen week meldde Symantec echter dat het Flashback-botnet bijna volledig was verdwenen door een afname van maar liefst 60 procent naar slechts 142.000 infecties. Het Amerikaanse bedrijf geeft nu aan dat het door Dr. Web beraamde aantal van nog altijd ruim 650.000 ge´nfecteerde Macs wel degelijk klopt.

Verkeerde telling
De oorzaak van de veel te lage inschatting is de verkeerde telmethode die Symantec heeft gebruikt. Security-onderzoeker Liam O Murchu van Symantec meldt in een interview dat het bedrijf inzicht heeft gekregen in de analyse van Dr. Web. Daaruit volgt de conclusie dat Symantec fout zat. Dr. Web heeft in een blogpost al uitgebreide uitleg gegeven over deze analyse, waarin het onder meer stelt dat de malware inmiddels instructies krijgt van een nieuwe command-and-control (C&C) server.

Die C&C-server is volgens Dr. Web de reden van de uiteenlopende tellingen. "Deze server communiceert met bots maar maakt geen TCP-connectie. Het resultaat is dat de bots op stand-by modus overschakelen en wachten op het antwoord van de server. De consequentie hiervan is dat er niet langer sprake is van communicatie met de overige C&C-servers, die andere beveiligingsspecialisten gebruiken bij hun telling."

Geen daling zichtbaar
Verschillende antivirusbedrijven zijn de afgelopen week met de meest uiteenlopende Flashback-metingen gekomen. De cijfers van het Russische Dr. Web schommelden rond de 600.000 ge´nfecteerde Macs en lieten zien dat er geen daling zichtbaar was. Dit ondanks verschillende software-updates voor Mac OS X Ún een Flashback-specifieke malwarecleaner van Apple zelf.

Beveiligingsbedrijf F-Secure ligt vooralsnog meer op ÚÚn lijn met Dr. Web. Via Twitter liet beveiligsexpert Mikko Hypponen zelfs weten dat er volgens F-Secure sprake was van ruim 800.000 ge´nfecteerde Macs. Kaspersky Labs heeft inmiddels aangegeven zelf een nieuw onderzoek in te stellen naar de Mac-malware Flashback, die de gemoederen flink bezig blijft houden.