2014.04.28

不法分子通过向互联网用户展示讨人厌烦的广告来为自己盈利，目前这类广告恶意软件的传播非常广泛，然而直到前不久，主要侵扰的还只是Windows系统用户。与此他恶意应用相比，Doctor Web公司病毒分析师在不久前破获的一些木马显得极不寻常，因为感染的对象是Mac OS X操作系统的电脑。

一些Mac OS X用户在Apple公司官方论坛上发帖抱怨，在时Safari和Google Chrome浏览器浏览各种网络资源时窗口显示烦人的广告。问题的源头在于访问特定网站时会在系统中下载恶意加载项（插件）。插件通过捆绑合法应用进行传播，而这些应用能够在电脑上实现某些有用的功能。

这些软件中有一个名为Downlite，通过一个常用的种子下载网站传播：点击Download，用户会被重定向至另一网络资源来加载应用，重定向是对用户进行分类处理：Apple一体机用户接收到的是文件StartDownload_oREeab.dmg（Downlite安装程序），其他操作系统用户可能被重定向至其他网站。文件下载后开始安装应用Downlite.app。

这个安装程序（Dr.Web反病毒软件将其命名为Trojan.Downlite.1）有一个有趣的特点：它能够合法安装应用DlLite.app和几个浏览器加载项，同时在安装过程中需要Mac OS X用户输入密码，并且，如果是系统管理员，应用会安装在根目录下。DlLite.app在电脑上运行需要有Java，然而恶意插件是用Objective-C语言写的，因此能够在打开浏览器窗口时顺利运行。这个安装程序还在系统中安装应用dev.Jack，用于监控Mozilla Firefox、Google Chrome、Safari浏览器，Dr.Web反病毒软件已成功将其侦测并命名为Trojan.Downlite.2。

除此之外，此广告插件还与其他应用（MacVideoTunes、MediaCenter_XBMC、Popcorn-Time、VideoPlayer_MPlayerX）捆绑传播。这些应用中有一个是MoviePlayer（MacVideoTunes）：在安装的第一步会建议用户不使用数字签名运行安装程序：

然后安装某种“优化”，这时用户无法通过取消相应的复选项来拒绝安装应用：

Dr.Web反病毒软件将这个安装程序命名为Trojan.Vsearch.8，其功能很像Trojan.Downlite.1，然而它在电脑上补充安装的是应用takeOverSearchAssetsMac.app（Trojan.Conduit.1），而不是软件dev.Jack。

在上述几种情况中恶意安装程序都会在系统中安装有用软件，下载的文件分别为VSearchAgent.app、VSearchLoader.bundle、VSearchPlugIn.bundle、libVSearchLoader.dylib和VSInstallerHelper。所有恶意操作的结果就是在浏览器窗口中展示以下类型的烦人广告：

• 带下划线的关键词，光标滑到时会显示广告弹窗；
• 在左下角显示带有“Hide Ad”按钮的小窗口；
• 在搜索系统页面和热门网站显示横幅广告。

Doctor Web公司的技术人员建议Mac OS X操作系统用户不要下载和安装可疑来源的应用，并应使用先进的反病毒软件保护自己的电脑。