«Доктор Веб»: установщик нежелательных приложений угрожает пользователям Mac

19.05.2015 | 11:08
Специалисты «Доктор Веб» обнаружили на платформе Mac программу, предназначенную для «тихой» установки нежелательного ПО, а также навязывания различных ненужных приложений и надстроек браузеров без ведома владельца. «Вредонос» зарегистрирован в базе под именем Adware.Mac.InstallCore.

«В последние годы такое ПО получило чрезвычайно широкое распространение, его жертвами в основном становятся пользователи Windows. Однако с недавних пор все больше таких программ появляется и для операционной системы Mac OS X», – прокомментировали находку в «Доктор Веб».

Нежелательное приложение Adware.Mac.InstallCore.1 представляет собой установщик, пакет которого содержит три значимые папки: bin, MacOS и Resources. В первой из них располагается приложение, детектируемое под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы.

Папка MacOS содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.

Среди файлов SDK располагается конфигурационный файл config.js, содержащий специальный раздел, который определяет, какие именно приложения будут предложены пользователю для установки. В этом разделе указано, сколько приложений следует инсталлировать на компьютер, при обнаружении каких программ или виртуальных машин пользователю не будут навязываться дополнительные программы, и, собственно, приведен сам список устанавливаемых компонентов.
screen

В другом файле, scripts.js, реализована основная логика работы установщика, в том числе — проверка наличия на компьютере виртуальных машин и некоторых ранее проинсталлированных приложений. Программа не будет навязывать пользователю установку посторонних компонентов, если она запущена в виртуальных машинах VirtualBox, VMWare Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки.

Также известны случаи, когда пользователю не предлагалась установка посторонних программ при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure. Помимо этого, в «черном списке» Adware.Mac.InstallCore.1 имеется ряд других приложений.

Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1 эксперты называют:
Yahoo Search, MacKeeper, ZipCloud, WalletBee, MacBooster 2, PremierOpinion, RealCloud, MaxSecure, iBoostUp, ElmediaPlayer.
Доктор Веб, установщик нежелательных приложений, Mac
По материалам macdigger.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код