Adware.Mac.InstallCore.1 угрожает пользователям Mac OS X


Adware.Mac.InstallCore.1 - нежелательное ПО для операционной системы Mac OS X, предназначенное для "тихой" установки, а также навязывания различных ненужных приложений и надстроек браузеров без ведома владельца компьютера.

В пакете установщика Adware.Mac.InstallCore.1 содержится три папки:

  • bin - приложение, детектируемое как Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы;
  • MacOS - содержит двоичный файл установщика;
  • Resources - хранит основную часть SDK в виде сценариев на языке JavaScript. При этом данные сценарии могут быть представлены как в открытом, так и в зашифрованном виде с использованием алгоритма AES.


Так, в частности, среди файлов SDK располагается конфигурационный файл config.js, который содержит специальный раздел, определяющий, какие именно приложения будут предложены пользователю для установки. Также в этом разделе указывается:

  • какое количество приложений следует инсталлировать на компьютер;
  • при обнаружении каких программ или виртуальных машин пользователю не будут навязываться дополнительные программы;
  • список устанавливаемых компонентов.


При этом имеющийся в составе приложения конфигурационный файл — не единственный, который используется данной программой в процессе ее работы. Например, еще один такой файл она получает с удаленного сервера, адрес которого указан в локальном файле конфигурации. Загружаемые из сети данные зашифрованы с использованием алгоритма XOR и сжаты при помощи GZIP. Расшифрованный файл содержит различные языковые параметры, необходимые для отображения элементов интерфейса установщика, а также иные данные.

В другом файле, scripts.js, реализована основная логика работы установщика, а также проверка наличия на компьютере виртуальных машин и некоторых ранее проинсталлированных приложений. Так, например, вредоносная программа не будет навязывать пользователю установку посторонних компонентов, при условии, если она запущена в виртуальных машинах:

  • VirtualBox;
  • VMWare Fusion;
  • Parallels.


Установка не начнется и в случае, если на "маке" будет выявлено присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки.

Известны случаи, когда пользователю не предлагалась установка посторонних программ при обнаружении антивирусов:

  • AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure.


Adware.Mac.InstallCore.1 может устанавливать на компьютер жертвы следующие программы и утилиты:

  • Yahoo Search;
  • MacKeeper (Program.Unwanted.MacKeeper);
  • ZipCloud;
  • WalletBee;
  • MacBooster 2;
  • PremierOpinion (Mac.BackDoor.OpinionSpy);
  • RealCloud;
  • MaxSecure;
  • iBoostUp;
  • ElmediaPlayer.