Специалисты «Доктор Веб» обнаружили потенциально нежелательное ПО для Mac OS X

image

Теги: приложение, Mac OS X, Доктор Веб

PUP-приложение самостоятельно устанавливает расширения для обозревателя, а также изменяет в нем стартовую страницу и поисковую систему.

Специалисты компании «Доктор Веб» обнаружили в Сети потенциально нежелательную программу (Potentially Unwanted Program, PUP) для Mac OS X. PUP-приложение было добавлено в базы антивирусных решений Dr.Web под именем Adware.Mac.InstallCore.1.

PUP-программа создает в системе жертвы три папки - bin, MacOS и Resources. Папка bin содержит само приложение, которое без ведома пользователя устанавливает расширения для обозревателя, изменяет в нем стартовую страницу и используемую по умолчанию поисковую систему. В папке MacOS традиционно находится двоичный файл установщика, а в папке Resources – SDK в виде сценариев на языке JavaScript. Сценарии могут быть как зашифрованными, так и в открытом виде.

Среди файлов SDK присутствует файл под именем config.js, который определяет список предлагаемых для установки приложений. В специальном разделе config.js указывается, сколько и какие именно программы будут установлены, а также при обнаружении какого ПО или виртуальных машин установка компонентов не произойдет. Кроме config.js PUP-приложение может использовать файл конфигурации, полученный с удаленного сервера, который шифруется при помощи алгоритма XOR.

Среди приложений и утилит, устанавливаемых Adware.Mac.InstallCore.1, специалисты «Доктор Веб» назвали следующие:

  • Yahoo Search;
  • MacKeeper (Program.Unwanted.MacKeeper);
  • ZipCloud;
  • WalletBee;
  • MacBooster 2;
  • PremierOpinion (Mac.BackDoor.OpinionSpy);
  • RealCloud;
  • MaxSecure;
  • iBoostUp;
  • ElmediaPlayer.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.