Вредоносная программа устанавливает нежелательные приложения в OS X

29 декабря 2015

Последние годы распространители вредоносного ПО все чаще атакуют обладателей компьютеров Apple. На это указывает статистика появления новых вирусов для платформы OS X.

Большинство таких утилит создается для показа нежелательных рекламных блоков или незаметной инсталляции различного ПО.

Новый вирус данного класса, обнаруженный специалистами «Доктор Веб», получил название Adware.Mac.Tuguu.1.

Как и остальные представители данного типа ПО, обнаруженная программа способна незаметно устанавливать на «маки» различные утилиты, обычно безвредные, но встречаются и вредоносные. При этом распространители утилиты Adware.Mac.Tuguu.1 получают за каждую такую установку определенное вознаграждение. Данная схема является основным заработком злоумышленников.

Распространяется вредоносная программа под видом различных бесплатных утилит для системы OS X. После активации опасная программа считывает содержимое файла конфигурации «.payload» (находится в том же каталоге), определяет адрес сервера управления и модифицирует его по определенному алгоритму. Далее при помощи зашифрованного запроса вредоносная программа запрашивает у командного центра список дополнительного ПО, инсталляция которого позднее будет предложена пользователю.

Ответ с перечнем программ также шифруется. Внутренняя нумерация данных элементов позволила специалистам предположить, что существует 736 различных вариантов набора. Каждое из предлагаемых приложений имеет для вируса определенный «вес»: максимальное количество одновременно устанавливаемых программ ограниченно, поэтому установщик при помощи специального алгоритма пытается сформировать оптимальный список (максимально допустимый «вес», при этом программы не должны конфликтовать между собой).

Поскольку диалоговое окно Adware.Mac.Tuguu.1 всегда позволяет активировать режим ручной установки Custom Installation, при котором пользователь при помощи переключателей может отказаться от предлагаемых программ, Adware.Mac.Tuguu.1 формально не является троянским приложением. Однако данный рекламный установщик способен за короткое время «засорить» систему ненужными программами.