Flashback: une action au niveau des serveurs DNS a été mise en place
On pensait que le nombre de machines infectées par Flashback avait dégringolé très vite pour ne plus représenter que quelques dizaines de milliers de Mac. Il s'avère qu'une action mise en place par Apple au niveau des serveurs DNS rend difficile la détection du nombre de machines infectées. Intego a découvert que certaines adresses (URL) générées par le cheval de Troie et servant à son contrôle avaient été redirigées vers l'adresse IP 127.0.0.1, celle locale de la machine.
Ainsi, les Mac infectés ne peuvent plus recevoir d'instructions et servir à ce botnet géant. Cette mesure fonctionne avec la plupart des serveurs DNS mais par exemple pas si l'on utilise Open DNS qui renvoie encore vers la bonne adresse IP.
Cette mesure d'urgence a eu un effet pervers. Elle a fait croire aux éditeurs d'antivirus qui scruptent le nombre de machines infectées qu'elles étaient bien moins nombreuses puisqu'une bonne partie d'entre elles ne venaient pas se connecter aux adresses piège mises en place pour les recenser.
Techniquement ce n'est pas très grave, le plus important étant que les machines infectées ne puissent plus nuire ou être encore plus compromises. Cette mesure reste cependant compliquée à maintenir dans le temps puisqu'il faudra régulièrement ajouter des redirections DNS au fur et à mesure que le cheval de Troie les créera. Il n'y a rien d'insurmontable et les autres mesures prises devraient à terme faire baisser réellement le nombre de machines touchées.