PUP-приложение самостоятельно устанавливает расширения для обозревателя, а также изменяет в нем стартовую страницу и поисковую систему.
Специалисты компании «Доктор Веб» обнаружили в Сети потенциально нежелательную программу (Potentially Unwanted Program, PUP) для Mac OS X. PUP-приложение было добавлено в базы антивирусных решений Dr.Web под именем Adware.Mac.InstallCore.1.
PUP-программа создает в системе жертвы три папки - bin, MacOS и Resources. Папка bin содержит само приложение, которое без ведома пользователя устанавливает расширения для обозревателя, изменяет в нем стартовую страницу и используемую по умолчанию поисковую систему. В папке MacOS традиционно находится двоичный файл установщика, а в папке Resources – SDK в виде сценариев на языке JavaScript. Сценарии могут быть как зашифрованными, так и в открытом виде.
Среди файлов SDK присутствует файл под именем config.js, который определяет список предлагаемых для установки приложений. В специальном разделе config.js указывается, сколько и какие именно программы будут установлены, а также при обнаружении какого ПО или виртуальных машин установка компонентов не произойдет. Кроме config.js PUP-приложение может использовать файл конфигурации, полученный с удаленного сервера, который шифруется при помощи алгоритма XOR.
Среди приложений и утилит, устанавливаемых Adware.Mac.InstallCore.1, специалисты «Доктор Веб» назвали следующие:
- Yahoo Search;
- MacKeeper (Program.Unwanted.MacKeeper);
- ZipCloud;
- WalletBee;
- MacBooster 2;
- PremierOpinion (Mac.BackDoor.OpinionSpy);
- RealCloud;
- MaxSecure;
- iBoostUp;
- ElmediaPlayer.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий