Trojan.Downlite показывают навязчивую рекламу пользователям Mac OS X


Trojan.Downlite (Dr.Web) - семейство вредоносных программ, которые показывают навязчивую рекламу пользователям Интернета, работающим на устройствах под управлением Mac OS X.

Распространяется Downlite с сайта популярного торрент-трекера, где пользователь, нажав на кнопку Download, перенаправляется на другой интернет-ресурс, с которого и загружается то самое вредоносное приложение, при этом перенаправление осуществляется таргетированно. Другими словами, пользователям Apple-совместимых компьютеров отдается файл StartDownload_oREeab.dmg — установщик Downlite, в то время как пользователи других операционных систем могут быть перенаправлены на иные сайты. Понятно, что после загрузки файла начинается установка приложения Downlite.app.

Ustanovka prilojeniya Downlite.app

Данный установщик - Trojan.Downlite.1 - устанавливает легитимное приложение DlLite.app, а также несколько надстроек к браузеру, при этом в процессе установки запрашивается пароль пользователя Mac OS X. Если последний является администратором системы, то приложения будут установлены в корневую папку.

Однако существует обязательное условие для работы DlLite.app - на компьютере должна быть установлена Java, хотя вредоносные плагины написаны на языке Objective-C, благополучно запускаются при открытии окна браузера. Также в систему устанавливается приложение dev.Jack (Trojan.Downlite.2), назначение которого - контроль над браузерами Mozilla Firefox, Google Chrome, Safari.

Кроме того, рекламные плагины распространяются вместе с такими приложениями, как:

  • MacVideoTunes;
  • MediaCenter_XBMC;
  • Popcorn-Time;
  • VideoPlayer_MPlayerX.


Одним из таких приложений является, например, MoviePlayer (MacVideoTunes), на первом этапе установки которого, пользователю предлагается запустить программу-инсталлятор без цифровой подписи.

Pervii etap ustanovki Downlite.app

Затем — установить некий "оптимизатор", при этом пользователь не может отказаться от инсталляции этого приложения.

Ustanovka optimizatora Downlite

Данный установщик детектируется как Trojan.Vsearch.8, а с точки зрения своего функционала очень сильно похож на Trojan.Downlite.1. Разница лишь в том, что вместо программы dev.Jack, он дополнительно устанавливает на компьютер приложение

  • takeOverSearchAssetsMac.app (Trojan.Conduit.1).


Во всех вышеупомянутых случаях установщик производит инсталляцию в систему полезной нагрузки, реализованной в виде файлов

  • VSearchAgent.app;
  • VSearchLoader.bundle;
  • VSearchPlugIn.bundle;
  • libVSearchLoader.dylib;
  • VSInstallerHelper.


Как результат всех этих манипуляций - навязчивая реклама следующих типов в окне браузера:

  • подчеркнутые ключевые слова, при наведении на которые курсора появляется всплывающее окошко с рекламой;
  • небольшое окошко в левом нижнем углу с кнопкой Hide Ad;
  • появление баннеров на страницах поисковых систем и на отдельных популярных сайтах.

Navyazchivaya reklama ot Downlite.app