9 grudnia 2015

Twórcy wirusów stają się coraz bardziej zainteresowani obieraniem sobie za cel użytkowników komputerów Apple. Świadczy o tym zwiększona częstotliwość wykrywania nowych złośliwych programów dla Mac OS X. Większość tych programów jest zaprojektowana do wyświetlania reklam lub ukrytego instalowania różnych aplikacji i narzędzi. Kolejny złośliwy program tego typu wykryty przez analityków bezpieczeństwa Doctor Web został nazwany Adware.Mac.Tuguu.1.

Tak jak inne modyfikacje tego malware, Adware.Mac.Tuguu.1 potrafi w ukryciu instalować na „Maku” użytkownika dodatkowe programy (przeważnie bezużyteczne, ale czasami nawet złośliwe). Komercyjną przyczyną zainteresowania się cyberprzestępców takim oprogramowaniem jest uzyskiwanie przez nich pieniędzy za każdą pomyślną instalację tego typu aplikacji.

Adware.Mac.Tuguu.1 jest dystrybuowany pod płaszczykiem darmowych programów dla Mac OS X. Po uruchomieniu ta niebezpieczna aplikacja odczytuje zawartość pliku konfiguracyjnego ".payload” znajdującego się w tym samym folderze, co plik instalacyjny aplikacji. Następnie wykrywa adres serwera kontrolno-zarządzającego (serwera C&C) i modyfikuje go. Używając zaszyfrowanego żądania, Adware.Mac.Tuguu.1 odwołuje się do serwera C&C aby uzyskać listę dodatkowych programów, które zostaną przedstawione użytkownikowi z prośbą o ich instalację. Odpowiedź serwera jest również zaszyfrowana i zawiera kilka pól, które określają jakie aplikacje powinny być zainstalowane na komputerze. Sądząc po wewnętrznej numeracji używanej przez instalatora, takich programów jest 736. Każdy program posiada dla Adware.Mac.Tuguu.1 swoją własną, warunkową “wagę”. Oznacza to, że z przyczyny ograniczonej maksymalnej liczby aplikacji, które mogą być zainstalowane za jednym razem, instalator, używając specjalnego algorytmu, próbuje stworzyć optymalną listę kompatybilnego oprogramowania o jak najwyższej “wadze”.

Przed instalacją, Adware.Mac.Tuguu.1 sprawdza czy oferowane programy są zgodne ze sobą nawzajem. Przykładowo, nie zainstaluje aplikacji MacKeeper razem z aplikacją MacKeeper Grouped. Co więcej, Adware.Mac.Tuguu.1 próbuje upewnić się, że to oprogramowanie nie zostało już zainstalowane wcześniej. Następnie, przed końcem operacji, sprawdza, czy instalacja została zakończona z powodzeniem.

Okienko dialogowe Adware.Mac.Tuguu.1 posiada tryb Instalacji Własnej (Custom Installation), w którym wyświetlane są pola wyboru pozwalające na odmowę instalacji całości dodatkowego oprogramowania. To z tej przyczyny ten złośliwy program nie może być nazwany trojanem. Jednakże Adware.Mac.Tuguu.1 jest typowym programem reklamowym całkowicie zdolnym do “zaśmiecenia” systemu operacyjnego bezużytecznym oprogramowaniem, czego dokona korzystając z nieostrożności użytkownika. Antywirus Dr.Web dla Mac OS X potrafi wykryć i usunąć ten program, więc nie stanowi on żadnego zagrożenia dla użytkowników oprogramowania Dr.Web.

Więcej na temat tego zagrożenia