le 18 mai 2014

Les spécialistes de Doctor Web connaissent depuis longtemps les logiciels malveillants et indésirables, conçus pour installer à l'insu de l'utilisateur des applications et plug-ins pour les navigateurs web. Ces logiciels sont très populaires maintenant et ciblent plutôt les utilisateurs de Microsoft Windows. Mais les chercheurs ont récemment découvert un de ces logiciels ciblant Mac OS X, ajouté à la base virale sous le nom Adware.Mac.InstallCore.1.

L'application indésirable Adware.Mac.InstallCore.1 représente un installateur dont le package contient trois dossiers importants : bin, MacOS et Resources. Le premier dossier contient une application que le logiciel antivirus Dr.Web détecte sous le nom Tool.Mac.ExtInstaller, destinée à installer des plug-ins pour le navigateur, remplacer la page d'accueil et le moteur de recherche utilisé par défaut. Le dossier MacOS contient traditionnellement le fichier binaire de l'installateur et le dossier Ressources inclut la partie principale du SDK sous forme de scripts en JavaScript. Ces scripts peuvent représenter des fichiers ouverts ou cryptés en utilisant AES.

Parmi les fichiers SDK se trouve notamment le fichier de configuration config.js, qui contient une section spéciale déterminant les applications qui seront proposées à l'utilisateur. Cette section indique combien d'applications il faut installer, la liste des applications ou machines virtuelles qui ne permettent pas d'offrir à l'utilisateur des logiciels additionnels et la liste des composants à installer. Il faut noter que le fichier de configuration n'est pas unique : le logiciel en reçoit un autre du serveur de gestion dont l'adresse est indiquée dans le fichier local de configuration. Les données téléchargées du réseau sont cryptées à l'aide de l'algorithme XOR et compressées avec GZIP. Le fichier décrypté contient des paramètres linguistiques différents qui sont nécessaires pour afficher les éléments de l'interface de l'installateur et d'autres données.

L'autre fichier, scripts.js, implémente la logique du fonctionnement de l'installateur y compris la vérification de la présence de machines virtuelles et d'autres applications déjà installées. Le logiciel ne proposera pas d'installer des applications s'il est lancé dans les machines virtuelles VirtualBox, VMWare Fusion ou Parallels, ou s'il détecte la présence de l'environnent XCode ou de l'application Charles, utilisée pour le débogage. Il y a aussi des cas où le logiciel ne propose d'installer d’applications s'il détecte les antivirus AVG, Avast, BitDefender, ESET, Comodo, Kaspersky, Sophos, Symantec, Intego, ClamAV et F-Secure. De plus, la liste noire de Adware.Mac.InstallCore.1 contient d'autres applications.

Parmi les logiciels et utilitaires qu’ Adware.Mac.InstallCore.1 installe sur l'ordinateur on peut noter :

• Yahoo Search;
• MacKeeper (Program.Unwanted.MacKeeper);
• ZipCloud;
• WalletBee (Adware.Mac.DealPly.1);
• MacBooster 2 (Program.Unwanted.MacBooster);
• PremierOpinion (Mac.BackDoor.OpinionSpy);
• RealCloud;
• MaxSecure;
• iBoostUp;
• ElmediaPlayer.

La signature de ce malware a été ajoutée aux bases virales de Dr.Web Antivirus pour Mac OS X, c'est pourquoi Adware.Mac.InstallCore.1 ne représente aucun danger pour nos utilisateurs.

Description complète