Mac World

«Доктор Веб»: установщик нежелательных приложений угрожает пользователям Mac

7
1

Специалисты «Доктор Веб» обнаружили на платформе Mac программу, предназначенную для «тихой» установки нежелательного ПО, а также навязывания различных ненужных приложений и надстроек браузеров без ведома владельца. «Вредонос» зарегистрирован в базе под именем Adware.Mac.InstallCore.

negel-4

«В последние годы такое ПО получило чрезвычайно широкое распространение, его жертвами в основном становятся пользователи Windows. Однако с недавних пор все больше таких программ появляется и для операционной системы Mac OS X», – прокомментировали находку в «Доктор Веб».

Нежелательное приложение Adware.Mac.InstallCore.1 представляет собой установщик, пакет которого содержит три значимые папки: bin, MacOS и Resources. В первой из них располагается приложение, детектируемое под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы.

Папка MacOS содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.

negel-3

Среди файлов SDK располагается конфигурационный файл config.js, содержащий специальный раздел, который определяет, какие именно приложения будут предложены пользователю для установки. В этом разделе указано, сколько приложений следует инсталлировать на компьютер, при обнаружении каких программ или виртуальных машин пользователю не будут навязываться дополнительные программы, и, собственно, приведен сам список устанавливаемых компонентов.
screen

В другом файле, scripts.js, реализована основная логика работы установщика, в том числе — проверка наличия на компьютере виртуальных машин и некоторых ранее проинсталлированных приложений. Программа не будет навязывать пользователю установку посторонних компонентов, если она запущена в виртуальных машинах VirtualBox, VMWare Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки.

negel-2

Также известны случаи, когда пользователю не предлагалась установка посторонних программ при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure. Помимо этого, в «черном списке» Adware.Mac.InstallCore.1 имеется ряд других приложений.

Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1 эксперты называют:
Yahoo Search, MacKeeper, ZipCloud, WalletBee, MacBooster 2, PremierOpinion, RealCloud, MaxSecure, iBoostUp, ElmediaPlayer.

7 комментариев

Написать комментарий