Defend what you create

Other Resources

Close

Library
My library

+ Add to library

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

Your tickets

Profile

Back to news

木马向Mac OS X用户展示广告

 

2014.04.28


不法分子通过向互联网用户展示讨人厌烦的广告来为自己盈利,目前这类广告恶意软件的传播非常广泛,然而直到前不久,主要侵扰的还只是Windows系统用户。与此他恶意应用相比,Doctor Web公司病毒分析师在不久前破获的一些木马显得极不寻常,因为感染的对象是Mac OS X操作系统的电脑。


一些Mac OS X用户在Apple公司官方论坛上发帖抱怨,在时Safari和Google Chrome浏览器浏览各种网络资源时窗口显示烦人的广告。问题的源头在于访问特定网站时会在系统中下载恶意加载项(插件)。插件通过捆绑合法应用进行传播,而这些应用能够在电脑上实现某些有用的功能。


这些软件中有一个名为Downlite,通过一个常用的种子下载网站传播:点击Download,用户会被重定向至另一网络资源来加载应用,重定向是对用户进行分类处理:Apple一体机用户接收到的是文件StartDownload_oREeab.dmg(Downlite安装程序),其他操作系统用户可能被重定向至其他网站。文件下载后开始安装应用Downlite.app


screen


这个安装程序(Dr.Web反病毒软件将其命名为Trojan.Downlite.1)有一个有趣的特点:它能够合法安装应用DlLite.app和几个浏览器加载项,同时在安装过程中需要Mac OS X用户输入密码,并且,如果是系统管理员,应用会安装在根目录下。DlLite.app在电脑上运行需要有Java,然而恶意插件是用Objective-C语言写的,因此能够在打开浏览器窗口时顺利运行。这个安装程序还在系统中安装应用dev.Jack,用于监控Mozilla Firefox、Google Chrome、Safari浏览器,Dr.Web反病毒软件已成功将其侦测并命名为Trojan.Downlite.2


除此之外,此广告插件还与其他应用(MacVideoTunes、MediaCenter_XBMC、Popcorn-Time、VideoPlayer_MPlayerX)捆绑传播。这些应用中有一个是MoviePlayer(MacVideoTunes):在安装的第一步会建议用户不使用数字签名运行安装程序:


screen


然后安装某种“优化”,这时用户无法通过取消相应的复选项来拒绝安装应用:


screen


Dr.Web反病毒软件将这个安装程序命名为Trojan.Vsearch.8,其功能很像Trojan.Downlite.1,然而它在电脑上补充安装的是应用takeOverSearchAssetsMac.app(Trojan.Conduit.1),而不是软件dev.Jack。


在上述几种情况中恶意安装程序都会在系统中安装有用软件,下载的文件分别为VSearchAgent.app、VSearchLoader.bundle、VSearchPlugIn.bundle、libVSearchLoader.dylib和VSInstallerHelper。所有恶意操作的结果就是在浏览器窗口中展示以下类型的烦人广告:

  • 带下划线的关键词,光标滑到时会显示广告弹窗;
  • 在左下角显示带有“Hide Ad”按钮的小窗口;
  • 在搜索系统页面和热门网站显示横幅广告。


screen


Doctor Web公司的技术人员建议Mac OS X操作系统用户不要下载和安装可疑来源的应用,并应使用先进的反病毒软件保护自己的电脑。

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

俄罗斯Dr.Web反病毒产品研发厂商

研发始自1992年

Dr.Web产品用户遍布世界200多个国家

2007年起提供反病毒服务

全天支持

© Doctor Web
2003 — 2019

Doctor Web公司是俄罗斯信息安全反病毒保护产品厂商,产品商标为Dr.Web。Dr.Web产品研发始自1992年。