Нежелательное приложение-установщик угрожает пользователям Mac OS X
Нежелательное приложение Adware.Mac.InstallCore.1 представляет собой установщик, пакет которого содержит три значимые папки: bin, MacOS и Resources.
В первой из них располагается приложение, детектируемое Dr.Web под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы. Папка MacOS традиционно содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.
В частности, среди файлов SDK располагается конфигурационный файл config.js, содержащий специальный раздел, который определяет, какие именно приложения будут предложены пользователю для установки. В этом разделе указано, сколько приложений следует инсталлировать на компьютер, при обнаружении каких программ или виртуальных машин пользователю не будут навязываться дополнительные программы, и, собственно, приведен сам список устанавливаемых компонентов. При этом имеющийся в составе приложения конфигурационный файл — не единственный, используемый данной программой в процессе ее работы: еще один она получает с удаленного сервера, адрес которого указан в локальном файле конфигурации. Загружаемые из сети данные зашифрованы с использованием алгоритма XOR и сжаты при помощи GZIP. Расшифрованный файл содержит различные языковые параметры, необходимые для отображения элементов интерфейса установщика, а также иные данные.
В другом файле, scripts.js, реализована основная логика работы установщика, в том числе — проверка наличия на компьютере виртуальных машин и некоторых ранее проинсталлированных приложений. Программа не будет навязывать пользователю установку посторонних компонентов, если она запущена в виртуальных машинах VirtualBox, VMWare Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки. Также известны случаи, когда пользователю не предлагалась установка посторонних программ при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure. Помимо этого, в «черном списке» Adware.Mac.InstallCore.1 имеется ряд других приложений.
Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1, можно перечислить следующие:
Yahoo Search;
MacKeeper (Program.Unwanted.MacKeeper);
ZipCloud;
WalletBee;
MacBooster 2;
PremierOpinion (Mac.BackDoor.OpinionSpy);
RealCloud;
MaxSecure;
iBoostUp;
ElmediaPlayer.
Запись для нежелательного приложения Adware.Mac.InstallCore.1 была добавлена в базы Антивируса Dr.Web для Mac OS X, поэтому наши пользователи защищены от действий этой программы.
