Program reklamowy dla OS X dystrybuuje wirusy

Ostatnio coraz częściej pojawiają się raporty na temat dystrybucji nowych złośliwych i potencjalnie niebezpiecznych programów dla Mac OS X. Analitycy bezpieczeństwa Doctor Web zarejestrowali wzrastającą liczbę programów reklamowych i instalatorów dla komputerów Apple, powiązanych w dużym stopniu z pojawieniem się nowych programów partnerskich wymierzonych w użytkowników Mac OS X. Jeden z takich programów był wykorzystywany przez cyberprzestępców do rozpowszechniania trojanów z rodziny Trojan.Crossrider.

Obraz
Źródło zdjęć: © SXC.hu

Instalator niechcianych aplikacji, który został dodany do bazy wirusów Dr.Web jako _ Adware.Mac.MacInst.1 _ został stworzony z użyciem zasobów programu partnerskiego nazwanego “_ macdownloadpro.com _”. Strony www licznych „partnerów”. biorących udział w tym programie są zwykle wypełnione różnymi modułami reklamowymi i odwiedzanie tych stron prowadzi do otwierania w oknie przeglądarki wielu irytujących kart. Sam instalator ukrywa się jako „użyteczna” aplikacja lub plik MP3. W kilku przypadkach instalator jest pobierany automatycznie gdy użytkownik zostanie przekierowany na określoną stronę www.

Obraz _ Adware.Mac.MacInst.1 _ posiada nietypową strukturę - zawiera dwa ukryte foldery, które nie mogą być przeglądane na komputerze pracującym ze standardowymi ustawieniami systemu operacyjnego, jeśli użytkownik zdecyduje się na przeglądanie zawartości pliku DMG z użyciem Findera.

Katalog z aplikacją zawiera plik binarny uruchamiający instalator oraz kolejny folder z logo aplikacji i zaszyfrowanym plikiem konfiguracyjnym. Gdy instalator zostanie uruchomiony, wyświetla okienko dialogowe z informacją o pliku, który użytkownik zgłosił do pobrania. Po naciśnięciu przycisku "Next" malware wyświetla umowę partnerską informującą użytkownika, że w załączeniu do pliku zostanie zainstalowanych kilka innych komponentów. Jeśli użytkownik kliknie trudno dostrzegalny link "Decline" w dole okna, zostanie pobrany tylko wybrany na początku plik. Jeśli jednak kliknie przycisk "Next", razem z plikiem zostanie pobrany i uruchomiony program wykrywany przez oprogramowanie Dr.Web jako Trojan.VIndinstaller.3.

Z kolei ta aplikacja instaluje złośliwe wtyczki do Safari, Firefoxa i Chrome. Te rozszerzenia są wykrywane jako trojany należące do rodziny _ Trojan.Crossrider _. _ Adware.Mac.MacInst.1 _ kopiuje wszystkie pobrane komponenty do folderu “~/Library/Application Support/osxDownloader”.

To ważne: wirus komputerowy atakuje klientów banku:

Wybrane dla Ciebie

Zyska Korea Południowa. USA sprzedadzą im te rakiety za 34 mln dol.
Zyska Korea Południowa. USA sprzedadzą im te rakiety za 34 mln dol.
Pokazał Oriesznika? Tajemniczy model na biurku Łukaszenki
Pokazał Oriesznika? Tajemniczy model na biurku Łukaszenki
AIM-120D-3 AMRAAM dla Polski. Pociski przeznaczone dla F-35
AIM-120D-3 AMRAAM dla Polski. Pociski przeznaczone dla F-35
Nowy front Putina. Rosja pomaga Chinom przygotować inwazję na Tajwan
Nowy front Putina. Rosja pomaga Chinom przygotować inwazję na Tajwan
"Zadzwoniło do domu". Polski instrument GLOWS na pokładzie misji NASA
"Zadzwoniło do domu". Polski instrument GLOWS na pokładzie misji NASA
TechNielogicznie #1. Czy misja Ignis była stratą pieniędzy?
TechNielogicznie #1. Czy misja Ignis była stratą pieniędzy?
Gigant dla sąsiada Polski. Takiego samolotu jeszcze nie mieli
Gigant dla sąsiada Polski. Takiego samolotu jeszcze nie mieli
Zniknęło całkowicie 6,2 mln lat temu. Wciąż jest na mapie
Zniknęło całkowicie 6,2 mln lat temu. Wciąż jest na mapie
"Okropna spółka". Znany analityk prawie wypowiedział wojnę Sony
"Okropna spółka". Znany analityk prawie wypowiedział wojnę Sony
Rybacy znaleźli podwodnego drona. Miał 3,5 metra długości
Rybacy znaleźli podwodnego drona. Miał 3,5 metra długości
Jest niewidoczna. Badacze stworzyli mapę ciemnej materii
Jest niewidoczna. Badacze stworzyli mapę ciemnej materii
Muszą "kanibalizować" samoloty. Rosjanie potrzebują części zamiennych
Muszą "kanibalizować" samoloty. Rosjanie potrzebują części zamiennych