Новогодние скидки от MDLavka

Вы пишете в комментариях, что хотите купить из техники Apple и мы делаем вам индивидуальное предложение, от которого сложно отказаться!

«Доктор Веб» сообщил о распространении «рекламного» трояна для Mac

Компания «Доктор Веб» сообщила о распространении вредоносного ПО для операционной системы Mac. Вирусные аналитики отмечают рост числа различных рекламных установщиков для OS X — не в последнюю очередь это связано с появлением новых партнерских программ, в том числе ориентированных и на пользователей Mac. Новая программа была замечена за распространением троянцев семейства Trojan.Crossrider.

inst-4

Установщик рекламных приложений Adware.Mac.MacInst.1 был создан с использованием ресурсов партнерской программы для монетизации приложений macdownloadpro.com. Сайты многочисленных «партнеров» этой системы, как правило, кишат различной рекламой, автоматически открывают дополнительные вкладки, а сам установщик посетителям предлагается скачать под видом какого-либо «полезного» приложения или даже музыкального MP3-файла. В некоторых случаях загрузка установщика осуществляется с использованием автоматического перенаправления пользователя на соответствующую веб-страницу.

Образ установщика Adware.Mac.MacInst.1 имеет весьма примечательную структуру: он содержит две скрытые папки, которые не будут демонстрироваться на компьютере со стандартными настройками операционной системы, если пользователь решит просмотреть содержимое DMG-файла в Finder.

inst-3

Сама директория расположения приложения содержит бинарный файл, запускающий программу-установщик, и папку, в которой размещено изображение с логотипом этого приложения и зашифрованный конфигурационный файл. Сам установщик демонстрирует на экране компьютера соответствующее окно, где сначала отображается информация о запрошенном пользователем файле, который он изначально и собирался скачать.

По нажатии на кнопку «Next» установщик демонстрирует партнерское предложение, подразумевающее, что помимо требуемого файла программа установит и некоторые дополнительные компоненты. Если пользователь нажмет на едва заметную ссылку «Decline» в нижней части окна, на его компьютер будет загружен только изначально выбранный им файл, однако по нажатии на кнопку «Next» вместе с ним программа скачает из Интернета и запустит другую программу Trojan.VIndinstaller.3.

inst-2

Это приложение, в свою очередь, устанавливает на компьютер вредоносные надстройки для браузеров Safari, Firefox и Chrome, детектируемые как троянцы семейства Trojan.Crossrider. Все скачанные из Интернета компоненты Adware.Mac.MacInst.1 копирует в папку «~/Library/Application Support/osxDownloader».

На сегодняшний день известно более 900 сайтов, участвующих в распространении данного установщика для Windows, Mac, Linux и Android.

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, Google+ или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.

5 комментариев

  • Сейчас полно сайтов-помоек маскирующихся под файлообменники. Вбиваешь в поиск "скачать ...", на первых местах ссылки на эти сайти. Идёшь по ссылке, там огромный баннер/кнопка "Diwnload". Шмёшь на эту кнопку и вместо искомого файла предлагает скачать некий Downloader.app. Я все эти сайты постоянно в чёрный список себе добавляю.
  • Ну что ту сказать :)
  • Все быстро ставить Dr. Web !! А то комп взорвется от рекламного троянца !1!!11
  • Трояны для мак как всегда из серии "Вы хотите установить троян?". "Вы хорошо подумали?". "Вы - кретин?". )))