Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un installateur d’applications indésirables cible les utilisateurs de Mac OS X

le 18 mai 2014

Les spécialistes de Doctor Web connaissent depuis longtemps les logiciels malveillants et indésirables, conçus pour installer à l'insu de l'utilisateur des applications et plug-ins pour les navigateurs web. Ces logiciels sont très populaires maintenant et ciblent plutôt les utilisateurs de Microsoft Windows. Mais les chercheurs ont récemment découvert un de ces logiciels ciblant Mac OS X, ajouté à la base virale sous le nom Adware.Mac.InstallCore.1.

L'application indésirable Adware.Mac.InstallCore.1 représente un installateur dont le package contient trois dossiers importants : bin, MacOS et Resources. Le premier dossier contient une application que le logiciel antivirus Dr.Web détecte sous le nom Tool.Mac.ExtInstaller, destinée à installer des plug-ins pour le navigateur, remplacer la page d'accueil et le moteur de recherche utilisé par défaut. Le dossier MacOS contient traditionnellement le fichier binaire de l'installateur et le dossier Ressources inclut la partie principale du SDK sous forme de scripts en JavaScript. Ces scripts peuvent représenter des fichiers ouverts ou cryptés en utilisant AES.

Parmi les fichiers SDK se trouve notamment le fichier de configuration config.js, qui contient une section spéciale déterminant les applications qui seront proposées à l'utilisateur. Cette section indique combien d'applications il faut installer, la liste des applications ou machines virtuelles qui ne permettent pas d'offrir à l'utilisateur des logiciels additionnels et la liste des composants à installer. Il faut noter que le fichier de configuration n'est pas unique : le logiciel en reçoit un autre du serveur de gestion dont l'adresse est indiquée dans le fichier local de configuration. Les données téléchargées du réseau sont cryptées à l'aide de l'algorithme XOR et compressées avec GZIP. Le fichier décrypté contient des paramètres linguistiques différents qui sont nécessaires pour afficher les éléments de l'interface de l'installateur et d'autres données.

screen

screen

L'autre fichier, scripts.js, implémente la logique du fonctionnement de l'installateur y compris la vérification de la présence de machines virtuelles et d'autres applications déjà installées. Le logiciel ne proposera pas d'installer des applications s'il est lancé dans les machines virtuelles VirtualBox, VMWare Fusion ou Parallels, ou s'il détecte la présence de l'environnent XCode ou de l'application Charles, utilisée pour le débogage. Il y a aussi des cas où le logiciel ne propose d'installer d’applications s'il détecte les antivirus AVG, Avast, BitDefender, ESET, Comodo, Kaspersky, Sophos, Symantec, Intego, ClamAV et F-Secure. De plus, la liste noire de Adware.Mac.InstallCore.1 contient d'autres applications.

Parmi les logiciels et utilitaires qu’ Adware.Mac.InstallCore.1 installe sur l'ordinateur on peut noter :

  • Yahoo Search;
  • MacKeeper (Program.Unwanted.MacKeeper);
  • ZipCloud;
  • WalletBee (Adware.Mac.DealPly.1);
  • MacBooster 2 (Program.Unwanted.MacBooster);
  • PremierOpinion (Mac.BackDoor.OpinionSpy);
  • RealCloud;
  • MaxSecure;
  • iBoostUp;
  • ElmediaPlayer.

La signature de ce malware a été ajoutée aux bases virales de Dr.Web Antivirus pour Mac OS X, c'est pourquoi Adware.Mac.InstallCore.1 ne représente aucun danger pour nos utilisateurs.

Description complète

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg