Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Nowe trojany reklamowe wymierzone w użytkowników “Maków”

3 marca 2016

Złośliwe programy dla komputerów Apple nie są tak bardzo rozpowszechnione jak trojany dla Windows i Androida. Niemniej jednak cyberprzestępcy są wciąż zainteresowani braniem sobie za cel posiadaczy “Maków”. Dzisiejsze złośliwe programy dla OS X są projektowane głównie w celu wyświetlania denerwujących reklam w oknie przeglądarki. W marcu analitycy bezpieczeństwa Doctor Web zarejestrowali nowe trojany reklamowe należące do rodziny Mac.Trojan.VSearch.

Trojany Mac.Trojan.VSearch rozpoczynają swoją złośliwą aktywność za pośrednictwem instalatora aplikacji wykrywanego przez Dr.Web jako Mac.Trojan.VSearch.2. Jest on rozpowszechniany ukrywając się pod postacią różnych narzędzi lub programów — przykładowo jako aplikacja Nice Player. Użytkownicy mogą pobrać go z różnych stron www oferujących darmowe oprogramowanie dla Mac OS X.

Mac.Trojan.VSearch #drweb

Gdy instalator zostanie uruchomiony, użytkownik widzi na ekranie standardowy ekran powitalny. Gdy kliknie przycisk “Continue”, Mac.Trojan.VSearch.2 powinien wyświetlić listę komponentów, które użytkownik może zainstalować w załączeniu do żądanej aplikacji. To okno dialogowe zazwyczaj zachęca użytkownika do wybrania z listy niezbędnych modułów, jednakże, w rzeczywistości, tak się nie dzieje, gdyż instalator pomija ten krok i przechodzi do następnego etapu prosząc użytkownika o podanie folderu do instalacji. Co więcej, trojan ustawia się tak, jakby użytkownik samodzielnie zaznaczył wszystkie zaoferowane komponenty. Pośród nich możemy wymienić trojana Mac.Trojan.VSearch.4 i takie niebezpieczne i niepożądane aplikacje jak MacKeeper (Program.Mac.Unwanted.MacKeeper)), ZipCloud (Program.Mac.Unwanted.ZipCloud) i Mac.Trojan.Conduit.

Po tym jak Mac.Trojan.VSearch.4 zostanie zainstalowany na zainfekowanym komputerze, trojan pobiera z serwera skrypt. Jest on używany do ustawienia innej niż standardowa domyślnej wyszukiwarki — serwera Trovi. Dodatkowo stosując skrypt Mac.Trojan.VSearch.4 potrafi pobierać i instalować wtyczkę wyszukiwarki dla Safari, Chrome i Firefoxa. Dr. Web wykrywa tą wtyczkę jako niepożądaną aplikację nazwaną Program.Mac.Unwanted.BrowserEnhancer.1. Na sam koniec trojan pobiera i instaluje inny złośliwy program — Mac.Trojan.VSearch.7.

Gdy Mac.Trojan.VSearch.7 znajdzie się w komputerze, pierwszą operacją którą wykonuje jest stworzenie nowego konta użytkownika, co nie jest wyświetlane w oknie powitalnym (Welcome) systemu OS X. Następnie uruchamia on specjalny serwer proxy używany do wstrzykiwania skryptu JavaScript do wszystkich otwartych stron www. Ten skrypt jest odpowiedzialny za wyświetlanie reklam w oknie przeglądarki i zbieranie zapytań użytkownika wprowadzanych w kilku popularnych wyszukiwarkach.

Mac.Trojan.VSearch #drweb

Specjaliści Doctor Web wykryli, że z serwerów cyberprzestępców pobrano 1735730 złośliwych programów. Do tego zarejestrowali również 478099 unikalnych adresów IP z których odwoływano się do tych serwerów. Ten fakt pozwala na wysnucie pewnych przypuszczeń co do obszaru dystrybucji tego zagrożenia. Antywirus Dr.Web dla Mac OS X z powodzeniem wykrywa trojany należące do rodziny Mac.Trojan.VSearch, tym samym nie stanowią one zagrożenia dla naszych użytkowników.

Więcej na temat tych trojanów

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A