Menu

Троянці-рекламісти добралися і до Mac OS X

Шкідливі програми, створені зловмисниками з метою збагачення за рахунок демонстрації користувачам Інтернету настирливої реклами, мають надзвичайно широке поширення, проте до недавнього часу вони дошкуляли, в основному, користувачам ОС Windows. Саме тому кілька троянців виглядають досить незвично на тлі інших аналогічних додатків, оскільки заражають комп'ютери, що працюють під управлінням Mac OS X.

Кілька користувачів Mac OS X опублікували на офіційному форумі компанії Apple скарги на нав'язливу рекламу, яка демонструється у вікні браузерів Safari і Google Chrome при перегляді різних веб-ресурсів. Джерелом проблем виявилися шкідливі компоненти (модулі), які встановлюються в систему при відвідуванні певних веб-сайтів. Плагіни поширюються в комплекті з легітимними програмами, здатними виконувати на комп'ютері деякі корисні функції.

Одна з таких програм носить найменування Downlite і поширюється з сайту популярного торрент-трекера: натиснувши на кнопку Download, користувач перенаправляється на інший інтернет-ресурс, з якого завантажується сам додаток, при цьому перенаправлення здійснюється таргетовано: користувачам Apple-сумісних комп'ютерів віддається файл StartDownload_oREeab.dmg - установник Downlite, користувачі інших операційних систем можуть бути перенаправлені на інші сайти. Після завантаження файлу починається установка програми Downlite.app.

Троянцы-рекламисты добрались и до Mac OS X

Цей установник (Антивірус Dr.Web ідентифікує його як Trojan.Downlite.1) має цікавою особливістю: він встановлює легітимне додаток DlLite.app і кілька надбудов до браузеру, при цьому в процесі установки запитується пароль користувача Mac OS X, і, якщо він є адміністратором системи, програми встановлюються в кореневу папку. Для роботи DlLite.app на комп'ютері потрібна наявність Java, однак шкідливі плагіни написані на мові Objective-C і благополучно запускаються при відкритті вікна браузера. Також в систему встановлюється додаток dev.Jack, призначене для контролю над браузерами Mozilla Firefox, Google Chrome, Safari і детектируемое антивірусним ПЗ Dr.Web як Trojan.Downlite.2.

Крім того, рекламні плагіни поширюються разом з іншими додатками (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Одним з таких програм є, наприклад, MoviePlayer (MacVideoTunes): на першому етапі його установки користувачеві пропонується запустити програму-інсталятор без цифрового підпису:

Троянцы-рекламисты добрались и до Mac OS X

Потім - встановити якийсь «оптимізатор», при цьому користувач позбавлений можливості скинути прапорець, щоб відмовитися від інсталяції програми:

Троянцы-рекламисты добрались и до Mac OS X

Цей інсталятор, детектируемый Антивірусом Dr.Web як Trojan.Vsearch.8, з точки зору свого функціоналу дуже схожий на Trojan.Downlite.1, однак замість програми dev.Jack він додатково встановлює на комп'ютер додаток takeOverSearchAssetsMac.app (Trojan.Conduit.1).

У всіх згаданих випадках установник здійснює інсталяцію у систему корисного навантаження, реалізованої у вигляді файлів VSearchAgent.app, VSearchLoader.bundle, VSearchPlugIn.bundle, libVSearchLoader.dylib і VSInstallerHelper. Результатом всіх цих маніпуляцій є поява у вікні браузера нав'язливої реклами наступних типів:

  • підкреслені ключові слова, при наведенні на які курсору з'являється спливаюче віконце з рекламою;
  • невелике віконце в лівому нижньому куті з кнопкою Hide Ad;
  • поява банерів на сторінках пошукових систем і на окремих популярних сайтах.

Троянцы-рекламисты добрались и до Mac OS X

Фахівці компанії «Доктор Веб» рекомендують користувачам операційної системи Mac OS X не завантажувати і не встановлювати програми з сумнівних джерел, а також використати на своїх комп'ютерах сучасні антивірусні програми.

Додатково Віджет від SocialMart
|