«Доктор Веб» обнаружил новый установщик нежелательного ПО в OS X

С каждым годом вирусописатели разрабатывают все больше нового вредоносного ПО для операционной системы OS X. Подавляющее большинство таких приложений предназначено для демонстрации нежелательной рекламы или скрытной установки различных программ и утилит. Специалисты компании «Доктор Веб» обнаружили очередную разработку злоумышленников, позволяющую незаметно для пользователя устанавливать на компьютер потенциальной жертвы дополнительные приложения как бесполезные, так и опасные. Как отмечают эксперты, за каждую успешную инсталляцию авторы программы получают вознаграждение.

Вредоносное ПО, получившее наименование Adware.Mac.Tuguu.1 (по классификации «Доктор Веб»), распространяется под видом различных бесплатных программ для OS X. Вредонос определяет адрес C&C-сервера, считывает содержимое конфигурационного файла «.payload» и определенным образом модифицирует его. Далее на C&C-сервер отправляется зашифрованный запрос для получения списка дополнительного ПО. Зашифрованный ответ сервера содержит несколько полей, определяющих программы, подходящие для установки на компьютер пользователя. Судя по используемой установщиком внутренней нумерации, всего существует 736 различных вариантов.

Перед началом установки вредонос проводит проверку предлагаемых программ на совместимость, предварительно удостоверившись в отсутствии такого ПО на системе. К примеру, Adware.Mac.Tuguu.1 не будет устанавливать вместе приложения MacKeeper и MacKeeper Grouped. Перед завершением работы установщик проверяет успешность инсталляции.

Нежелательное рекламное ПО - программы, предназначенные для показа рекламы на компьютере, перенаправления поисковых запросов на рекламные web-сайты и сбора маркетинговой информации о пользователе.