Trojan.Yontoo.1 - новый рекламный троян для "маков"


Trojan.Yontoo.1 - троян-загрузчик, устанавливающий на инфицированный компьютер дополнение для популярных браузеров, основным назначением которого, является демонстрация рекламы в процессе просмотра веб-сайтов.

С начала 2013 года отмечен рост количества рекламных приложений для различных платформ. Исключением не стала и операционная система Mac OS X. Так злоумышленники зарабатывают на партнерских программах рекламных сетей, и с каждым днем растет их интерес к пользователям Apple-совместимых компьютеров. Примером может стать недавно обнаруженный Trojan.Yontoo.1.

Троянская программа Trojan.Yontoo.1 может проникать на компьютер жертвы различными способами. Часто злоумышленники используют для распространения данного трояна специальные веб-страницы с анонсами фильмов, при открытии которых в верхней части окна демонстрируется стандартное предложение установки плагина для браузера. Однако этот диалог лишь имитирует традиционную панель, а на самом деле он создан злоумышленниками специально, чтобы ввести потенциальную жертву в заблуждение. После нажатия на кнопку Install the plug-in пользователь будет перенаправлен на сайт для загрузки приложения, детектируемого как Trojan.Yontoo.1.

Sait s virusom Trojan.Yontoo.1

Также жертва может загрузить данного трояна под видом

  • медиаплеера;
  • программы для улучшения качества просмотра видео;
  • "ускорителя" загрузки файлов из Интернета и т. д.


После запуска Trojan.Yontoo.1 демонстрирует на экране диалоговое окно программы, предлагающей инсталлировать приложение под названием Free Twit Tube.

Install vredonos prilojeniya Free Twit Tube

Однако вместо заявленной программы, троян загружает из Интернета и устанавливает специальный плагин Yontoo пользователям Mac OS X для браузеров Safari, Chrome и Firefox. Этот плагин в процессе просмотра сайтов в фоновом режиме передает на удаленный сервер данные о любой открытой пользователем веб-странице в своем браузере.

Vredonos plugins

В ответ данное дополнение получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем веб-страницы различные рекламные модули от сторонних партнерских программ.

Отображение веб-страницы сайта apple.com на инфицированном компьютере

Inficirovannaya stranica apple com

Такие расширения для браузеров детектируются как Adware.Plugin. Также следует обратить внимание на то, что аналогичная схема распространения "рекламного троянца" существует и для пользователей ОС Windows.