Un'indesiderata applicazione-installer minaccia gli utenti di Mac OS X

18 maggio 2015

Dagli specialisti Doctor Web sono ben conosciuti i programmi malevoli e indesiderati che si installano in modalità "silenziosa" e possono installare altre inutili applicazioni e estensioni per browser all'insaputa degli utenti – negli anni recenti tali software si sono diffusi largamente e le loro vittime sono sopratutto gli utenti di Microsoft Windows. Di recente però compaiano sempre più tali programmi anche per il sistema operativo Mac OS X. Uno di essi è stato aggiunto ai database dei virus Dr.Web sotto il nome Adware.Mac.InstallCore.1.

L'app indesiderata Adware.Mac.InstallCore.1 è un installer, di cui il pacchetto contiene tre cartelle significative: bin, MacOS e Resources. Nella prima di esse si trova l'applicazione che viene rilevata da Dr.Web come Tool.Mac.ExtInstaller, studiata per installare estensioni per browser, per sostituire la pagina iniziale e il motore di ricerca utilizzato di default dai browser. La cartella MacOS di solito contiene il file binario dell'installer, mentre la cartella Resources conserva la parte principale SDK sotto forma degli script in linguaggio JavaScript. Gli script possono essere sia in chiaro e sia cifrati tramite l'algoritmo AES.

In particolare, tra i file SDK c'è il file di configurazione config.js con una sezione che determina quali applicazioni verranno offerte all'utente per l'installazione. In questa sezione è indicato quante applicazioni devono essere installate sul computer e alla scoperta di quali programmi o macchine virtuali l'installazione non deve essere eseguita, e vengono elencati i componenti da installare. Il file di configurazione incluso nell'app non è l'unico utilizzato da questo programma nel corso del funzionamento: ne riceve un altro dal server remoto, di cui l'indirizzo è indicato nel file di configurazione locale. I dati scaricati da rete sono cifrati tramite l'algoritmo XOR e compressi tramite GZIP. Il file decifrato contiene varie impostazioni di lingua, necessarie per visualizzare gli elementi interfaccia dell'installer, nonché altre informazioni.

Nel file scripts.js è implementata la principale logica del funzionamento dell'installer, tra le altre cose — il controllo della disponibilità sul computer di macchine virtuali e di alcune applicazioni installate prima. Il programma non impone all'utente l'installazione di componenti estranei se è in esecuzione nelle macchine virtuali VirtualBox, VMWare Fusion o Parallels o se sul Mac è stato rilevato un pacchetto dell'ambiente di sviluppo XCode o dell'applicazione Charles utilizzata per il debug. Inoltre, sono conosciuti i casi quando il programma non installa software aggiuntivo se ha rilevato la presenza degli antivirus AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV e F-Secure. Inoltre, la "black list" di Adware.Mac.InstallCore.1 include una serie di altre applicazioni.

Tra le applicazioni e utility che vengono installate sul computer da Adware.Mac.InstallCore.1 possiamo segnalare le seguenti:

• Yahoo Search;
• MacKeeper (Program.Unwanted.MacKeeper);
• ZipCloud;
• WalletBee (Adware.Mac.DealPly.1);
• MacBooster 2 (Program.Unwanted.MacBooster);
• PremierOpinion (Mac.BackDoor.OpinionSpy);
• RealCloud;
• MaxSecure;
• iBoostUp;
• ElmediaPlayer.

La firma antivirus dell'applicazione indesiderata Adware.Mac.InstallCore.1 è stata inserita nei database dell'Antivirus Dr.Web per Mac OS X, perciò i nostri utenti sono protetti dalle azioni di questo programma.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk