18 maggio 2015

Dagli specialisti Doctor Web sono ben conosciuti i programmi malevoli e indesiderati che si installano in modalità "silenziosa" e possono installare altre inutili applicazioni e estensioni per browser all'insaputa degli utenti – negli anni recenti tali software si sono diffusi largamente e le loro vittime sono sopratutto gli utenti di Microsoft Windows. Di recente però compaiano sempre più tali programmi anche per il sistema operativo Mac OS X. Uno di essi è stato aggiunto ai database dei virus Dr.Web sotto il nome Adware.Mac.InstallCore.1.

L'app indesiderata Adware.Mac.InstallCore.1 è un installer, di cui il pacchetto contiene tre cartelle significative: bin, MacOS e Resources. Nella prima di esse si trova l'applicazione che viene rilevata da Dr.Web come Tool.Mac.ExtInstaller, studiata per installare estensioni per browser, per sostituire la pagina iniziale e il motore di ricerca utilizzato di default dai browser. La cartella MacOS di solito contiene il file binario dell'installer, mentre la cartella Resources conserva la parte principale SDK sotto forma degli script in linguaggio JavaScript. Gli script possono essere sia in chiaro e sia cifrati tramite l'algoritmo AES.

In particolare, tra i file SDK c'è il file di configurazione config.js con una sezione che determina quali applicazioni verranno offerte all'utente per l'installazione. In questa sezione è indicato quante applicazioni devono essere installate sul computer e alla scoperta di quali programmi o macchine virtuali l'installazione non deve essere eseguita, e vengono elencati i componenti da installare. Il file di configurazione incluso nell'app non è l'unico utilizzato da questo programma nel corso del funzionamento: ne riceve un altro dal server remoto, di cui l'indirizzo è indicato nel file di configurazione locale. I dati scaricati da rete sono cifrati tramite l'algoritmo XOR e compressi tramite GZIP. Il file decifrato contiene varie impostazioni di lingua, necessarie per visualizzare gli elementi interfaccia dell'installer, nonché altre informazioni.

Nel file scripts.js è implementata la principale logica del funzionamento dell'installer, tra le altre cose — il controllo della disponibilità sul computer di macchine virtuali e di alcune applicazioni installate prima. Il programma non impone all'utente l'installazione di componenti estranei se è in esecuzione nelle macchine virtuali VirtualBox, VMWare Fusion o Parallels o se sul Mac è stato rilevato un pacchetto dell'ambiente di sviluppo XCode o dell'applicazione Charles utilizzata per il debug. Inoltre, sono conosciuti i casi quando il programma non installa software aggiuntivo se ha rilevato la presenza degli antivirus AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV e F-Secure. Inoltre, la "black list" di Adware.Mac.InstallCore.1 include una serie di altre applicazioni.

Tra le applicazioni e utility che vengono installate sul computer da Adware.Mac.InstallCore.1 possiamo segnalare le seguenti:

• Yahoo Search;
• MacKeeper (Program.Unwanted.MacKeeper);
• ZipCloud;
• WalletBee (Adware.Mac.DealPly.1);
• MacBooster 2 (Program.Unwanted.MacBooster);
• PremierOpinion (Mac.BackDoor.OpinionSpy);
• RealCloud;
• MaxSecure;
• iBoostUp;
• ElmediaPlayer.

La firma antivirus dell'applicazione indesiderata Adware.Mac.InstallCore.1 è stata inserita nei database dell'Antivirus Dr.Web per Mac OS X, perciò i nostri utenti sono protetti dalle azioni di questo programma.