Специалисты компании “Доктор Веб” обнаружили в Сети потенциально нежелательную программу (Potentially Unwanted Program, PUP) для Mac OS X. PUP-приложение было добавлено в базы антивирусных решений Dr.Web под именем Adware.Mac.InstallCore.1.
PUP-программа создает в системе жертвы три папки – bin, MacOS и Resources. Папка bin содержит само приложение, которое без ведома пользователя устанавливает расширения для обозревателя, изменяет в нем стартовую страницу и используемую по умолчанию поисковую систему. В папке MacOS традиционно находится двоичный файл установщика, а в папке Resources – SDK в виде сценариев на языке JavaScript. Сценарии могут быть как зашифрованными, так и в открытом виде.
Среди файлов SDK присутствует файл под именем config.js, который определяет список предлагаемых для установки приложений. В специальном разделе config.js указывается, сколько и какие именно программы будут установлены, а также при обнаружении какого ПО или виртуальных машин установка компонентов не произойдет. Кроме config.js PUP-приложение может использовать файл конфигурации, полученный с удаленного сервера, который шифруется при помощи алгоритма XOR.
Среди приложений и утилит, устанавливаемых Adware.Mac.InstallCore.1, специалисты “Доктор Веб” назвали следующие:
Yahoo Search;
MacKeeper (Program.Unwanted.MacKeeper);
ZipCloud;
WalletBee;
MacBooster 2;
PremierOpinion (Mac.BackDoor.OpinionSpy);
RealCloud;
MaxSecure;
iBoostUp;
ElmediaPlayer. (Dr.Web/NovostIT)