Сообщается, что троян распространяется через многочисленные веб-сайты: по некоторым данным, на конец марта в Сети насчитывалось более 4 млн инфицированных страниц. Все они содержат Java-скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт.
Попав на компьютер жертвы, вредоносная программа сохраняет на жёстком диске исполняемый файл, предназначенный для загрузки дополнительных модулей с удалённых серверов. Далее Flashback проверяет наличие в системе ряда антивирусных и защитных компонентов. Если их обнаружить не удаётся, троян формирует по определённому алгоритму список управляющих узлов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.
Получив ответ управляющего сервера, Flashback загружает и запускает на заражённом ПК дополнительные модули, выполняющие те или иные вредоносные действия. Кроме того, троян передаёт управляющему серверу идентификатор инфицированного компьютера.
По оценкам «Доктора Веба», по состоянию на 4 апреля в бот-сети Flashback действовало более 550 тыс. зараженных «Маков». Бόльшая часть инфицированных машин находится в США (56,6%, или около 303 тыс.). Далее следуют Канада (19,8%, или 106 тыс. единиц), Великобритания (12,8%, 69 тыс. случаев заражения) и Австралия (6,1%, около 33 тыс. инфицированных ПК).
Подготовлено по материалам компании «Доктор Веб».