Twórcy wirusów coraz częściej obierają sobie za cel użytkowników komputerów Apple. Świadczy o tym zwiększona częstotliwość wykrywania nowych złośliwych programów dla Mac OS X. Większość tych programów jest zaprojektowana do wyświetlania reklam lub ukrytego instalowania niechcianych aplikacji i narzędzi. Kolejny złośliwy program tego typu, wykryty przez analityków bezpieczeństwa Doctor Web, został nazwany Adware.Mac.Tuguu.1.
Tak jak inne modyfikacje tego malware, Adware.Mac.Tuguu.1 potrafi w ukryciu instalować dodatkowe programy (przeważnie bezużyteczne, ale czasami nawet złośliwe). Komercyjną przyczyną zainteresowania się cyberprzestępców takim oprogramowaniem jest uzyskiwanie przez nich pieniędzy za każdą pomyślną instalację tego typu aplikacji.
Adware.Mac.Tuguu.1 jest dystrybuowany pod ukryciem programów dla Mac OS X. Po uruchomieniu ta niebezpieczna aplikacja odczytuje zawartość pliku konfiguracyjnego „.payload” znajdującego się w tym samym folderze, co plik instalacyjny aplikacji. Następnie wykrywa adres serwera kontrolno-zarządzającego (serwera C&C) i modyfikuje go. Używając zaszyfrowanego żądania, Adware.Mac.Tuguu.1 odwołuje się do serwera C&C aby uzyskać listę dodatkowych programów, które zostaną przedstawione użytkownikowi z prośbą o ich instalację. Odpowiedź serwera jest również zaszyfrowana i zawiera kilka pól, które określają jakie aplikacje powinny być zainstalowane na komputerze. Sądząc po wewnętrznej numeracji używanej przez instalatora, takich programów jest 736. Każdy program posiada dla Adware.Mac.Tuguu.1 swoją własną, warunkową “wagę”. Oznacza to, że ze względu na ograniczoną maksymalną liczbę aplikacji, które mogą być zainstalowane za jednym razem, instalator używa specjalnego algorytmu i próbuje stworzyć optymalną listę kompatybilnego oprogramowania o jak najwyższej “wadze”.
Przed instalacją, Adware.Mac.Tuguu.1 sprawdza czy oferowane programy są ze sobą zgodne. Przykładowo, nie zainstaluje aplikacji MacKeeper razem z aplikacją MacKeeper Grouped. Co więcej, Adware.Mac.Tuguu.1 próbuje upewnić się, że to oprogramowanie nie zostało już zainstalowane wcześniej. Przed końcem operacji, sprawdza czy instalacja została zakończona z powodzeniem.
Okienko dialogowe Adware.Mac.Tuguu.1 posiada tryb Instalacji Własnej (Custom Installation), w którym wyświetlane są pola wyboru pozwalające na odmowę instalacji całości dodatkowego oprogramowania. Z tego powodu ten złośliwy program nie może być nazwany trojanem. Jednakże Adware.Mac.Tuguu.1 jest typowym programem reklamowym całkowicie zdolnym do “zaśmiecenia” systemu operacyjnego bezużytecznym oprogramowaniem, czego dokonuje korzystając z nieostrożności użytkownika. Antywirus Dr.Web dla Mac OS X potrafi wykryć i usunąć ten program, więc nie stanowi on żadnego zagrożenia dla użytkowników oprogramowania Dr.Web.
źródło: Doctor Web
