Mac.Trojan.VSearch - семейство троянов, атакующих пользователей OS X


Mac.Trojan.VSearch - семейство троянов, атакующих Apple-компьютеры, загружающих на них различное вредоносное ПО, а также предназначенных для несанкционированного показа рекламы в окне браузера.

Атака троянов семейства Mac.Trojan.VSearch на компьютер Apple начинается с установщика приложений - Mac.Trojan.VSearch.2. Этот троян распространяется под видом различных утилит и программ – например, проигрывателя Nice Player. Пользователь самостоятельно может его скачать с различных веб-сайтов, предлагающих бесплатное ПО для OS X.

Mac.Trojan.VSearch rasprostranyaetsya pod vidom utilit dlya zagruzki prilojeniy

После запуска установщика в его окне отображается традиционное приветствие. Нажав на кнопку Continue Mac.Trojan.VSearch.2 должен показать пользователю список компонентов, устанавливаемых помимо приложения, которое он хотел получить с самого начала. Обычно пользователю в этом списке предоставляется возможность выбрать необходимые модули. В данном случае выбор отсутствует. Вместо этого инсталлятор сразу переходит к окну с предложением указать папку установки. При этом он настроен таким образом, будто пользователь сам отметил флажками все предложенные варианты. Среди устанавливаемых трояном компонентов был замечен:

  • троян Mac.Trojan.VSearch.4;
  • MacKeeper (Program.Mac.Unwanted.MacKeeper);
  • ZipCloud (Program.Mac.Unwanted.ZipCloud);
  • Mac.Trojan.Conduit.


Установившись на атакуемый компьютер, Mac.Trojan.VSearch.4 обращается к серверу злоумышленников и выкачивает оттуда специальный скрипт. С его помощью осуществляется подмена в настройках браузера поисковой системы по умолчанию, устанавливая в качестве таковой сервер Trovi. Также, с помощью этого скрипта троян может скачать и установить на инфицированный "мак" поисковый плагин для браузеров:

  • Safari;
  • Chrome;
  • Firefox.


Плагин детектируется как нежелательное приложение Program.Mac.Unwanted.BrowserEnhancer.1. И, наконец, эта вредоносная программа загружает и устанавливает в системе трояна Mac.Trojan.VSearch.7.

На инфицированном компьютере, Mac.Trojan.VSearch.7 в первую очередь создает в операционной системе нового пользователя (который не отображается в окне приветствия OS X) и запускает специальный прокси-сервер. С его помощью вредоносное ПО встраивает во все открываемые в окне браузера веб-страницы сценарий на языке JavaScript, показывающий рекламные баннеры. Помимо этого, вредоносный сценарий собирает пользовательские запросы к нескольким популярным поисковым системам.

Mac.Trojan.VSearch sobiraet zaprosi k poiskovim sistemam

В общей сложности на принадлежащие киберпреступникам серверы за время их существования поступило 1 735 730 запросов на загрузку вредоносных программ. Было зафиксировано 478 099 уникальных IP-адресов обращавшихся к этим серверам компьютеров.