Niechciane i złośliwe programy, które mogą być instalowane w systemie w sposób niejawny lub wymuszające na użytkowniku załadowanie podejrzanych aplikacji, czy też wtyczki do przeglądarek instalowane bez wiedzy użytkownika, są przedmiotem analiz specjalistów bezpieczeństwa Doctor Web już od dłuższego czasu. Tego typu oprogramowanie rozpowszechniło się ostatnio dość szeroko, atakując przede wszystkim użytkowników Microsoft Windows. Jednak coraz więcej takich programów pojawia się również dla systemu Mac OS X. Jeden z nich został właśnie dodany do baz wirusów Dr.Web pod nazwą Adware.Mac.InstallCore.1.

Niechciana aplikacja Adware.Mac.InstallCore.1 jest instalatorem zawierającym trzy główne foldery (bin, MacOS i Resources). Pierwszy folder zawiera aplikację wykrywaną przez Antywirusa Dr.Web jako Tool.Mac.ExtInstaller. Oferuje ona możliwość instalowania wtyczek do przeglądarek, zmienia też stronę domową lub domyślną usługę wyszukiwania. Folder MacOS zawiera plik binarny instalatora; folder Resources zawiera główną część SDK (Software Development Kit) w formie skryptów JavaScript. Te skrypty mogą być (opcjonalnie) zaszyfrowane z użyciem algorytmu AES.

W szczególności, wśród plików SDK znajduje się plik konfiguracyjny config.js posiadający specjalną sekcję z informacjami dotyczącymi tego, jakie aplikacje powinny być pobrane. Ta sekcja posiada informacje o tym, ile aplikacji musi zostać zainstalowanych w systemie, obecność których programów i maszyn wirtualnych chroni przed instalacją dodatkowych programów i listę komponentów do zainstalowania. Plik konfiguracyjny zawarty w aplikacji nie jest jedynym plikiem wykorzystywanym przez program do jego działania. Inny plik jest otrzymywany ze zdalnego serwera, którego adres jest określony w lokalnym pliku konfiguracyjnym. Dane pobrane z sieci są zaszyfrowane z użyciem algorytmu XOR i skompresowane z wykorzystaniem GZIP. Zaszyfrowany plik zawiera różne dane i parametry językowe wymagane do poprawnego wyświetlania elementów interfejsu programu.

Plik scripts.js oferuje możliwość sprawdzania komputera pod kątem obecności maszyn wirtualnych i kilku już zainstalowanych aplikacji. Malware nie będzie domagać się od użytkownika instalacji dodatkowych programów, jeśli uruchomi się w środowisku VirtualBox, VMware Fusion czy Parallels lub nawet jeśli na "Maku" zostanie wykryty pakiet środowiska programistycznego XCode lub aplikacja Charles, służąca do debugowania programów. Istnieje też kilka innych przypadków, gdy niechciana aplikacja nie będzie prosić użytkownika o instalację dodatkowych programów. Mianowicie, jeśli w systemie zostanie wykryta jedna z następujących aplikacji antywirusowych: AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV lub F-Secure. Dodatkowo czarna lista Adware.Mac.InstallCore.1 zawiera kilka innych aplikacji.

Poniższa lista prezentuje kilka programów i narzędzi, które Adware.Mac.InstallCore.1 może zainstalować w zaatakowanym systemie:

• Yahoo Search;
• MacKeeper (Program.Unwanted.MacKeeper);
• ZipCloud;
• WalletBee (Adware.Mac.DealPly.1);
• MacBooster 2 (Program.Unwanted.MacBooster);
• PremierOpinion (Mac.BackDoor.OpinionSpy);
• RealCloud;
• MaxSecure;
• iBoostUp;
• ElmediaPlayer.

Sygnatura Adware.Mac.InstallCore.1 została dodana do baz wirusów Dr.Web dla Mac OS X, zatem użytkownicy Dr.Web są już objęci niezawodną ochroną przed złośliwymi aktywnościami tego programu.