Нежелательное приложение-установщик угрожает пользователям Mac OS X

Безопасность Пользователю
мобильная версия
, Текст: Татьяна Короткова

Компания «Доктор Веб» обнаружила новое нежелательное приложение для операционной системы Mac OS X, предназначенное для «тихой» установки, а также навязывания различных ненужных приложений и надстроек браузеров без ведома владельца компьютера. Как сообщили CNews в «Доктор Веб», в последние годы такое ПО получило чрезвычайно широкое распространение, и его жертвами в основном становятся пользователи Microsoft Windows. Однако с недавних пор все больше таких программ появляется и для Mac OS X.

По словам представителей компании, нежелательное приложение Adware.Mac.InstallCore.1 представляет собой установщик, пакет которого содержит три значимые папки: bin, MacOS и Resources. В первой из них располагается приложение, детектируемое Dr.Web под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы. Папка MacOS традиционно содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.

В частности, среди файлов SDK располагается конфигурационный файл config.js, содержащий специальный раздел, который определяет, какие именно приложения будут предложены пользователю для установки. В этом разделе указано, сколько приложений следует инсталлировать на компьютер, при обнаружении каких программ или виртуальных машин пользователю не будут навязываться дополнительные программы, и, собственно, приведен сам список устанавливаемых компонентов. При этом имеющийся в составе приложения конфигурационный файл — не единственный, используемый данной программой в процессе ее работы: еще один она получает с удаленного сервера, адрес которого указан в локальном файле конфигурации, рассказали в «Доктор Веб». Загружаемые из сети данные зашифрованы с использованием алгоритма XOR и сжаты при помощи GZIP. Расшифрованный файл содержит различные языковые параметры, необходимые для отображения элементов интерфейса установщика, а также иные данные.

В другом файле, scripts.js, реализована основная логика работы установщика, в том числе — проверка наличия на компьютере виртуальных машин и некоторых ранее проинсталлированных приложений. Программа не будет навязывать пользователю установку посторонних компонентов, если она запущена в виртуальных машинах VirtualBox, VMware Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки. Также известны случаи, когда пользователю не предлагалась установка посторонних программ при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, Eset, Sophos, Symantec, Intego, ClamAV, F-Secure и др. Помимо этого, в «черном списке» Adware.Mac.InstallCore.1 имеется ряд других приложений.

Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1, в «Доктор Веб» отметили следующие: Yahoo Search; MacKeeper (Program.Unwanted.MacKeeper); ZipCloud; WalletBee; MacBooster 2; PremierOpinion (Mac.BackDoor.OpinionSpy); RealCloud; MaxSecure; iBoostUp; ElmediaPlayer.

Запись для нежелательного приложения Adware.Mac.InstallCore.1 была добавлена в базы «Антивируса Dr.Web для Mac OS X». Таким образом, пользователи данного антивируса защищены от действий этой программы, указали в компании.