W ostatnim miesiącu Doctor Web publikował informacje na temat trojanów instalujących oprogramowanie reklamowe i inne niechciane programy na komputerach z systemem Windows. Jednak w kręgu zainteresowania cyberprzestępców pozostają również i inne systemy operacyjne — ostatnio analitycy bezpieczeństwa Doctor Web przebadali próbkę adware dla Mac OS X nazwaną Adware.Mac.WeDownload.1.

Próbka Adware.Mac.WeDownload.1 przebadana w laboratorium antywirusowym Doctor Web, ukrywa się pod pakietem dystrybucyjnym Adobe Flash Player’a zawierającego następujący podpis cyfrowy: "Developer ID Application: Simon Max (GW6F4C87KX)". Ten downloader jest dystrybuowany poprzez program partnerski zorientowany na generowanie dochodów za pobieranie plików.

Uruchomiony Adware.Mac.WeDownload.1 zachęca użytkownika do udzielenia mu uprawnień administratora i wysyła kolejne żądania do trzech serwerów kontrolno-zarządzających, których  adresy są zapisane w jego kodzie, aby uzyskać dane dla głównego okna aplikacji. Jeśli żaden z serwerów nie odpowie na wysłane żądanie, downloader zakończy swoją aktywność.

Jeśli Adware.Mac.WeDownload.1 uzyska odpowiedź, wysyła do serwera kontrolno-zarządzającego żądanie POST zawierające dane konfiguracyjne downloadera w formacie JSON (JavaScript Object Notation). Jako odpowiedź, program otrzymuje stronę HTML z zawartością głównego okna. Downloader dodaje bieżący znacznik czasu i podpis cyfrowy, wygenerowany na podstawie specjalnego algorytmu, do wszystkich przyszłych żądań GET i POST.

Gdy stosowne żądanie zostanie wysłane, Adware.Mac.WeDownload.1 otrzymuje listę aplikacji, które będą przedstawione użytkownikowi z prośbą o instalację. Lista zawiera nie tylko niechciane programy, ale również złośliwe oprogramowanie, włączając Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, różne trojany należące do rodziny Trojan.Conduit i kilka innych niebezpiecznych aplikacji.

Całkowita liczba i rodzaje programów zależą od lokalizacji geograficznej ofiary. Jeśli lista aplikacji jest pusta, użytkownik nie otrzyma propozycji instalacji żadnych programów, oprócz tych, które sam oryginalnie wybrał do instalacji.

Analitycy bezpieczeństwa Doctor Web przypominają użytkownikom komputerów Apple o zachowaniu ostrożności i o pobieraniu aplikacji tylko z pewnych źródeł. Sygnatura Adware.Mac.WeDownload.1 została dodana do baz wirusów Dr.Web dla Mac OS X, dzięki czemu ten downloader nie stanowi zagrożenia dla użytkowników Dr.Web.

Więcej na temat tego downloadera - http://vms.drweb-av.pl/virus/?i=7558347

źródło: Doctor Web

AUTOR:

Adrian Ścibor

Podziel się