Специалисты «Доктор Веб» обнаружили потенциально нежелательное ПО для Mac OS X

Специалисты компании «Доктор Веб» обнаружили в Сети потенциально нежелательную программу (Potentially Unwanted Program, PUP) для Mac OS X. PUP-приложение было добавлено в базы антивирусных решений Dr.Web под именем Adware.Mac.InstallCore.1.

PUP-программа создает в системе жертвы три папки - bin, MacOS и Resources. Папка bin содержит само приложение, которое без ведома пользователя устанавливает расширения для обозревателя, изменяет в нем стартовую страницу и используемую по умолчанию поисковую систему. В папке MacOS традиционно находится двоичный файл установщика, а в папке Resources – SDK в виде сценариев на языке JavaScript. Сценарии могут быть как зашифрованными, так и в открытом виде.

Среди файлов SDK присутствует файл под именем config.js, который определяет список предлагаемых для установки приложений. В специальном разделе config.js указывается, сколько и какие именно программы будут установлены, а также при обнаружении какого ПО или виртуальных машин установка компонентов не произойдет. Кроме config.js PUP-приложение может использовать файл конфигурации, полученный с удаленного сервера, который шифруется при помощи алгоритма XOR.

Среди приложений и утилит, устанавливаемых Adware.Mac.InstallCore.1, специалисты «Доктор Веб» назвали следующие:

• Yahoo Search;
• MacKeeper (Program.Unwanted.MacKeeper);
• ZipCloud;
• WalletBee;
• MacBooster 2;
• PremierOpinion (Mac.BackDoor.OpinionSpy);
• RealCloud;
• MaxSecure;
• iBoostUp;
• ElmediaPlayer.