Złośliwy program instaluje niechciane aplikacje w systemie Mac OS X

9 grudnia, 2015

Twórcy wirusów coraz częściej obierają sobie za cel użytkowników komputerów Apple. Świadczy o tym zwiększona częstotliwość wykrywania nowych złośliwych programów dla Mac OS X. Większość tych programów jest zaprojektowana do wyświetlania reklam lub ukrytego instalowania niechcianych aplikacji i narzędzi. Kolejny złośliwy program tego typu, wykryty przez analityków bezpieczeństwa Doctor Web, został nazwany Adware.Mac.Tuguu.1.

Tak jak inne modyfikacje tego malware, Adware.Mac.Tuguu.1 potrafi w ukryciu instalować dodatkowe programy (przeważnie bezużyteczne, ale czasami nawet złośliwe). Komercyjną przyczyną zainteresowania się cyberprzestępców takim oprogramowaniem jest uzyskiwanie przez nich pieniędzy za każdą pomyślną instalację tego typu aplikacji.

adware mac tugu adware mac tugu2

Adware.Mac.Tuguu.1 jest dystrybuowany pod ukryciem programów dla Mac OS X. Po uruchomieniu ta niebezpieczna aplikacja odczytuje zawartość pliku konfiguracyjnego „.payload” znajdującego się w tym samym folderze, co plik instalacyjny aplikacji. Następnie wykrywa adres serwera kontrolno-zarządzającego (serwera C&C) i modyfikuje go. Używając zaszyfrowanego żądania, Adware.Mac.Tuguu.1 odwołuje się do serwera C&C aby uzyskać listę dodatkowych programów, które zostaną przedstawione użytkownikowi z prośbą o ich instalację. Odpowiedź serwera jest również zaszyfrowana i zawiera kilka pól, które określają jakie aplikacje powinny być zainstalowane na komputerze. Sądząc po wewnętrznej numeracji używanej przez instalatora, takich programów jest 736. Każdy program posiada dla Adware.Mac.Tuguu.1 swoją własną, warunkową “wagę”. Oznacza to, że ze względu na ograniczoną maksymalną liczbę aplikacji, które mogą być zainstalowane za jednym razem, instalator używa specjalnego algorytmu i próbuje stworzyć optymalną listę kompatybilnego oprogramowania o jak najwyższej “wadze”.

Przed instalacją, Adware.Mac.Tuguu.1 sprawdza czy oferowane programy są ze sobą zgodne. Przykładowo, nie zainstaluje aplikacji MacKeeper razem z aplikacją  MacKeeper Grouped. Co więcej, Adware.Mac.Tuguu.1 próbuje upewnić się, że to oprogramowanie nie zostało już zainstalowane wcześniej. Przed końcem operacji, sprawdza czy instalacja została zakończona z powodzeniem.
Okienko dialogowe Adware.Mac.Tuguu.1 posiada tryb Instalacji Własnej (Custom Installation), w którym wyświetlane są pola wyboru pozwalające na odmowę instalacji całości dodatkowego oprogramowania. Z tego powodu ten złośliwy program nie może być nazwany trojanem. Jednakże Adware.Mac.Tuguu.1 jest typowym programem reklamowym całkowicie zdolnym do “zaśmiecenia” systemu operacyjnego bezużytecznym oprogramowaniem, czego dokonuje korzystając z nieostrożności użytkownika. Antywirus Dr.Web dla Mac OS X potrafi wykryć i usunąć ten program, więc nie stanowi on żadnego zagrożenia dla użytkowników oprogramowania Dr.Web.

źródło: Doctor Web

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]