Новый троян для Mac показывает рекламу

Вирусные аналитики компании «Доктор Веб» исследовали ряд троянских программ, созданных злоумышленниками с целью обогащения за счет демонстрации назойливой рекламы, которые нацелены на пользователей OS X.

Mac-Downlite-2

Как говорится в заявлении «Доктор Веб», несколько пользователей Mac опубликовали на официальном форуме Apple жалобы на навязчивую рекламу, которая демонстрируется в окне браузеров Safari и Google Chrome при просмотре различных веб-ресурсов. Источником проблем оказались вредоносные надстройки (плагины), которые устанавливаются в систему при посещении определенных сайтов. Плагины распространяются в комплекте с легитимными приложениями, способными выполнять на компьютере некоторые полезные функции.

Одна из таких программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается само приложение. При этом перенаправление осуществляется таргетированно: пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, пользователи других операционных систем могут быть перенаправлены на иные сайты. После загрузки файла начинается установка приложения Downlite.app, рассказали в компании.

По словам специалистов «Доктор Веб», данный установщик обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X, и, если он является администратором системы, приложения устанавливаются в корневую папку. Для работы DlLite.app на компьютере требуется наличие Java, однако вредоносные плагины написаны на языке Objective-C и благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari и детектируемое антивирусным ПО Dr.Web как Trojan.Downlite.2.

Кроме того, рекламные плагины распространяются вместе с другими приложениями (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Одним из таких приложений является, например, MoviePlayer (MacVideoTunes): на первом этапе его установки пользователю предлагается запустить программу-инсталлятор без цифровой подписи. Затем установить некий «оптимизатор», при этом пользователь лишен возможности сбросить соответствующий флажок, чтобы отказаться от инсталляции приложения. Данный установщик, детектируемый «Антивирусом Dr.Web» как Trojan.Vsearch.8, с точки зрения своего функционала очень похож на Trojan.Downlite.1, однако вместо программы dev.Jack он дополнительно устанавливает на компьютер приложение takeOverSearchAssetsMac.app (Trojan.Conduit.1), отметили в компании.

Mac-Downlite-1

Во всех упомянутых случаях установщик выполняет инсталляцию в систему полезной нагрузки, реализованной в виде файлов VSearchAgent.app, VSearchLoader.bundle, VSearchPlugIn.bundle, libVSearchLoader.dylib и VSInstallerHelper. Результатом всех этих манипуляций является появление в окне браузера навязчивой рекламы следующих типов: подчеркнутые ключевые слова, при наведении на которые курсора появляется всплывающее окошко с рекламой; небольшое окошко в левом нижнем углу с кнопкой Hide Ad; появление баннеров на страницах поисковых систем и на отдельных популярных сайтах.

Специалисты компании «Доктор Веб» рекомендуют пользователям Mac не загружать и не устанавливать приложения из сомнительных источников, а также использовать на своих компьютерах современные антивирусные программы.

Источник: MacDigger.ru


4 комментария

  • эта дрянь и на маке завелась( На винде бесит когда цепляешь где нибудь(
    • Осталось найти очевидцев которые эту дрянь на маках видели своими глазами :) Ну за исключением идиотов, которые самостоятельно себе ее установили :)