Нежелательное приложение-установщик угрожает пользователям Mac OS X

19.05.2015 |

Александр Абрамов.

Специалистам компании «Доктор Веб» хорошо известны вредоносные и нежелательные программы, предназначенные для «тихой» установки, а также навязывания различных ненужных приложений и надстроек браузеров без ведома владельца компьютера – в последние годы такое ПО получило чрезвычайно широкое распространение, его жертвами в основном становятся пользователи Microsoft Windows.

Однако с недавних пор все больше таких программ появляется и для операционной системы Mac OS X. Одна из них была добавлена в вирусные базы Dr.Web под именем Adware.Mac.InstallCore.1.

Нежелательное приложение Adware.Mac.InstallCore.1 представляет собой установщик, пакет которого содержит три значимые папки: bin, MacOS и Resources. В первой из них располагается приложение, детектируемое Dr.Web под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы. Папка MacOS традиционно содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.

В частности, среди файлов SDK располагается конфигурационный файл config.js, содержащий специальный раздел, который определяет, какие именно приложения будут предложены пользователю для установки. В этом разделе указано, сколько приложений следует инсталлировать на компьютер, при обнаружении каких программ или виртуальных машин пользователю не будут навязываться дополнительные программы, и, собственно, приведен сам список устанавливаемых компонентов. При этом имеющийся в составе приложения конфигурационный файл — не единственный, используемый данной программой в процессе ее работы: еще один она получает с удаленного сервера, адрес которого указан в локальном файле конфигурации. Загружаемые из сети данные зашифрованы с использованием алгоритма XOR и сжаты при помощи GZIP. Расшифрованный файл содержит различные языковые параметры, необходимые для отображения элементов интерфейса установщика, а также иные данные.

В другом файле, scripts.js, реализована основная логика работы установщика, в том числе — проверка наличия на компьютере виртуальных машин и некоторых ранее проинсталлированных приложений. Программа не будет навязывать пользователю установку посторонних компонентов, если она запущена в виртуальных машинах VirtualBox, VMWare Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки. Также известны случаи, когда пользователю не предлагалась установка посторонних программ при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure. Помимо этого, в «черном списке» Adware.Mac.InstallCore.1 имеется ряд других приложений.

Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1, можно перечислить следующие:

Yahoo Search;
MacKeeper (Program.Unwanted.MacKeeper);
ZipCloud;
WalletBee;
MacBooster 2;
PremierOpinion (Mac.BackDoor.OpinionSpy);
RealCloud;
MaxSecure;
iBoostUp;
ElmediaPlayer.
Запись для нежелательного приложения Adware.Mac.InstallCore.1 была добавлена в базы Антивируса Dr.Web для Mac OS X, поэтому наши пользователи защищены от действий этой программы.

Подробное описание

С уважением,
компания «Доктор Веб»
www.drweb.com

Dr.Web
© «Доктор Веб»
2003—2015
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года. Компания — ключевой игрок на российском рынке программных средств обеспечения базовой потребности бизнеса — безопасности информации. «Доктор Веб» — один из немногих антивирусных вендоров в мире, владеющих собственными уникальными технологиями детектирования и лечения вредоносных программ. Антивирусная защита Dr.Web позволяет информационным системам клиентов эффективно противостоять любым, даже неизвестным угрозам.

«Доктор Веб» стал первой компанией, предложившей на российском рынке инновационную модель использования антивируса в качестве услуги, и по сей день продолжает оставаться безусловным лидером российского рынка интернет-сервисов безопасности для поставщиков ИT-услуг. Государственные сертификаты и награды, а также география пользователей Dr.Web свидетельствуют о высоком качестве продуктов, созданных талантливыми российскими программистами.