30.09.2015 Новости, БезопасностьКомпания «Доктор Веб» сообщила о результатах исследования в ее в вирусной лаборатории образца рекламного установщика для Mac OS X, который получил наименование Adware.Mac.WeDownload.1. Экземпляр Adware.Mac.WeDownload.1, попавший в руки в руки вирусных аналитиков, представляет собой поддельный дистрибутив проигрывателя Adobe Flash Player и имеет следующую цифровую подпись: Developer ID Application: Simon Max (GW6F4C87KX). Загрузчик распространяется с использованием ресурсов партнерской программы, ориентированной на монетизацию файлового трафика. В процессе установки Adware.Mac.WeDownload.1 запрашивает права суперадминистратора ОС и последовательно обращается для загрузки главного окна приложения к трем управляющим серверам, адреса которых «зашиты» в его конфигурационном файле. Если ни один из удаленных узлов не ответил, установщик завершает свою работу. При получении отклика Adware.Mac.WeDownload.1 отсылает на управляющий сервер POST-запрос, содержащий конфигурационные данные загрузчика в формате JSON (JavaScript Object Notation), а в ответ получает HTML-страницу с содержимым демонстрируемого пользователю окна. Все дальнейшие GET- и POST-запросы установщик снабжает меткой текущего времени и цифровой подписью, формируемой по специальному алгоритму. После отсылки соответствующего запроса Adware.Mac.WeDownload.1 получает от управляющего сервера список приложений, которые будут предложены пользователю для установки. Среди них замечены как нежелательные, так и ...
читать далее.
