16 апреля 2014 года

Вредоносные программы, созданные злоумышленниками с целью обогащения за счет демонстрации пользователям Интернета назойливой рекламы, имеют чрезвычайно широкое распространение, однако до недавнего времени они досаждали, в основном, пользователям ОС Windows. Именно поэтому несколько троянцев, исследование которых недавно провели вирусные аналитики компании «Доктор Веб», выглядят весьма необычно на фоне других аналогичных приложений, поскольку заражают компьютеры, работающие под управлением Mac OS X.

Несколько пользователей Mac OS X опубликовали на официальном форуме компании Apple жалобы на навязчивую рекламу, которая демонстрируется в окне браузеров Safari и Google Chrome при просмотре различных веб-ресурсов. Источником проблем оказались вредоносные надстройки (плагины), которые устанавливаются в систему при посещении определенных сайтов. Плагины распространяются в комплекте с легитимными приложениями, способными выполнять на компьютере некоторые полезные функции.

Одна из таких программ носит наименование Downlite и распространяется с сайта популярного торрент-трекера: нажав на кнопку Download, пользователь перенаправляется на другой интернет-ресурс, с которого загружается само приложение, при этом перенаправление осуществляется таргетированно: пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, пользователи других операционных систем могут быть перенаправлены на иные сайты. После загрузки файла начинается установка приложения Downlite.app.

Данный установщик (Антивирус Dr.Web идентифицирует его как Trojan.Downlite.1) обладает любопытной особенностью: он устанавливает легитимное приложение DlLite.app и несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X, и, если он является администратором системы, приложения устанавливаются в корневую папку. Для работы DlLite.app на компьютере требуется наличие Java, однако вредоносные плагины написаны на языке Objective-C и благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack, предназначенное для контроля над браузерами Mozilla Firefox, Google Chrome, Safari и детектируемое антивирусным ПО Dr.Web как Trojan.Downlite.2.

Кроме того, рекламные плагины распространяются вместе с другими приложениями (MacVideoTunes, MediaCenter_XBMC, Popcorn-Time, VideoPlayer_MPlayerX). Одним из таких приложений является, например, MoviePlayer (MacVideoTunes): на первом этапе его установки пользователю предлагается запустить программу-инсталлятор без цифровой подписи:

Затем — установить некий «оптимизатор», при этом пользователь лишен возможности сбросить соответствующий флажок, чтобы отказаться от инсталляции приложения:

Данный установщик, детектируемый Антивирусом Dr.Web как Trojan.Vsearch.8, с точки зрения своего функционала очень похож на Trojan.Downlite.1, однако вместо программы dev.Jack он дополнительно устанавливает на компьютер приложение takeOverSearchAssetsMac.app (Trojan.Conduit.1).

Во всех упомянутых случаях установщик осуществляет инсталляцию в систему полезной нагрузки, реализованной в виде файлов VSearchAgent.app, VSearchLoader.bundle, VSearchPlugIn.bundle, libVSearchLoader.dylib и VSInstallerHelper. Результатом всех этих манипуляций является появление в окне браузера навязчивой рекламы следующих типов:

• подчеркнутые ключевые слова, при наведении на которые курсора появляется всплывающее окошко с рекламой;
• небольшое окошко в левом нижнем углу с кнопкой Hide Ad;
• появление баннеров на страницах поисковых систем и на отдельных популярных сайтах.

Специалисты компании «Доктор Веб» рекомендуют пользователям операционной системы Mac OS X не загружать и не устанавливать приложения из сомнительных источников, а также использовать на своих компьютерах современные антивирусные программы.