2014.04.28
一些Mac OS X用户在Apple公司官方论坛上发帖抱怨,在时Safari和Google Chrome浏览器浏览各种网络资源时窗口显示烦人的广告。问题的源头在于访问特定网站时会在系统中下载恶意加载项(插件)。插件通过捆绑合法应用进行传播,而这些应用能够在电脑上实现某些有用的功能。
这些软件中有一个名为Downlite,通过一个常用的种子下载网站传播:点击Download,用户会被重定向至另一网络资源来加载应用,重定向是对用户进行分类处理:Apple一体机用户接收到的是文件StartDownload_oREeab.dmg(Downlite安装程序),其他操作系统用户可能被重定向至其他网站。文件下载后开始安装应用Downlite.app。
这个安装程序(Dr.Web反病毒软件将其命名为Trojan.Downlite.1)有一个有趣的特点:它能够合法安装应用DlLite.app和几个浏览器加载项,同时在安装过程中需要Mac OS X用户输入密码,并且,如果是系统管理员,应用会安装在根目录下。DlLite.app在电脑上运行需要有Java,然而恶意插件是用Objective-C语言写的,因此能够在打开浏览器窗口时顺利运行。这个安装程序还在系统中安装应用dev.Jack,用于监控Mozilla Firefox、Google Chrome、Safari浏览器,Dr.Web反病毒软件已成功将其侦测并命名为Trojan.Downlite.2。
除此之外,此广告插件还与其他应用(MacVideoTunes、MediaCenter_XBMC、Popcorn-Time、VideoPlayer_MPlayerX)捆绑传播。这些应用中有一个是MoviePlayer(MacVideoTunes):在安装的第一步会建议用户不使用数字签名运行安装程序:
然后安装某种“优化”,这时用户无法通过取消相应的复选项来拒绝安装应用:
Dr.Web反病毒软件将这个安装程序命名为Trojan.Vsearch.8,其功能很像Trojan.Downlite.1,然而它在电脑上补充安装的是应用takeOverSearchAssetsMac.app(Trojan.Conduit.1),而不是软件dev.Jack。
在上述几种情况中恶意安装程序都会在系统中安装有用软件,下载的文件分别为VSearchAgent.app、VSearchLoader.bundle、VSearchPlugIn.bundle、libVSearchLoader.dylib和VSInstallerHelper。所有恶意操作的结果就是在浏览器窗口中展示以下类型的烦人广告:
- 带下划线的关键词,光标滑到时会显示广告弹窗;
- 在左下角显示带有“Hide Ad”按钮的小窗口;
- 在搜索系统页面和热门网站显示横幅广告。
Doctor Web公司的技术人员建议Mac OS X操作系统用户不要下载和安装可疑来源的应用,并应使用先进的反病毒软件保护自己的电脑。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments