Dr.Web wykrył kolejny złośliwy program na OS X

20/05/2015, 05:53 · · · 4

„Na Maci nie ma wirusów”. To stwierdzenie, kiedyś prawdziwe, dzisiaj powoli staje się legendą. Wraz z rosnącą popularnością komputerów z nadgryzionym jabłkiem, wzrosło ich zainteresowanie przez twórców złośliwego oprogramowania. Kolejny przykład takiego programu odkrył Dr.Web, a został on ukryty w instalatorze przeróżnych aplikacji.

Za informacją prasową:

Niechciana aplikacja Adware.Mac.InstallCore.1 jest instalatorem zawierającym trzy główne foldery (bin, MacOS i Resources). Pierwszy folder zawiera aplikację wykrywaną przez Antywirusa Dr.Web jako Tool.Mac.ExtInstaller. Oferuje ona możliwość instalowania wtyczek do przeglądarek, zmienia też stronę domową lub domyślną usługę wyszukiwania. Folder MacOS zawiera plik binarny instalatora; folder Resources zawiera główną część SDK (Software Development Kit) w formie skryptów JavaScript. Te skrypty mogą być (opcjonalnie) zaszyfrowane z użyciem algorytmu AES.

W szczególności, wśród plików SDK znajduje się plik konfiguracyjny config.js posiadający specjalną sekcję z informacjami dotyczącymi tego, jakie aplikacje powinny być pobrane. Ta sekcja posiada informacje o tym, ile aplikacji musi zostać zainstalowanych w systemie, obecność których programów i maszyn wirtualnych chroni przed instalacją dodatkowych programów i listę komponentów do zainstalowania. Plik konfiguracyjny zawarty w aplikacji nie jest jedynymrome plikiem wykorzystywanym przez program do jego działania. Inny plik jest otrzymywany ze zdalnego serwera, którego adres jest określony w lokalnym pliku konfiguracyjnym. Dane pobrane z sieci są zaszyfrowane z użyciem algorytmu XOR i skompresowane z wykorzystaniem GZIP. Zaszyfrowany plik zawiera różne dane i parametry językowe wymagane do poprawnego wyświetlania elementów interfejsu programu.

Plik scripts.js oferuje możliwość sprawdzania komputera pod kątem obecności maszyn wirtualnych i kilku już zainstalowanych aplikacji. Malware nie będzie domagać się od użytkownika instalacji dodatkowych programów, jeśli uruchomi się w środowisku VirtualBox, VMware Fusion czy Parallels lub nawet jeśli na „Maku” zostanie wykryty pakiet środowiska programistycznego XCode lub aplikacja Charles, służąca do debugowania programów. Istnieje też kilka innych przypadków, gdy niechciana aplikacja nie będzie prosić użytkownika o instalację dodatkowych programów. Mianowicie, jeśli w systemie zostanie wykryta jedna z następujących aplikacji antywirusowych: AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV lub F-Secure. Dodatkowo czarna lista Adware.Mac.InstallCore.1 zawiera kilka innych aplikacji.

Czy jest to powód do obawy? Raczej nie. W przypadku Maców każde oprogramowanie musi być zainstalowane przez użytkownika, także to złośliwe. Podobnie jest w tym przypadku. Adware.Mac.InstallCore.1 (urodziwa nazwa) instalujemy samodzielnie podczas instalacji jednej z poniższych aplikacji:

– Yahoo Search
– MacKeeper (Program.Unwanted.MacKeeper)
– ZipCloud
– WalletBee
– MacBooster 2
– PremierOpinion (Mac.BackDoor.OpinionSpy)
– RealCloud
– MaxSecure
– iBoostUp
– ElmediaPlayer

Zamiast panikować dużo lepszym rozwiązaniem jest mieć  dookoła głowy, korzystać z komputera z rozwagą, a po oprogramowanie sięgać do App Store, gdzie nie doświadczymy takich nieprzyjemności.

Źródło: Dr. Web, DeviantArt (grafika tytułowa)



4

Michał Zieliński

Star Wars, samochody i Taylor Swift.

mikeyziel