Torna alla lista delle notizie
21 settembre 2015
Il campione Adware.Mac.WeDownload.1 , pervenuto al laboratorio antivirus Doctor Web, è una distribuzione contraffatta del lettore Adobe Flash Player, dotata della seguente firma digitale: "Developer ID Application: Simon Max (GW6F4C87KX)". Questo installer viene distribuito con impiego delle risorse di un partner program incentrato sulla monetizzazione di traffico di file.
Nel processo dell'installazione l'1Adware.Mac.WeDownload.1 chiede di avere i permessi dell'amministratore di root del sistema operativo e per caricare la sua finestra principale si connette, ad uno dopo l'altro, a tre server di gestione di cui gli indirizzi sono memorizzati nel suo file di configurazione. Se nessuno dei nodi remoti ha risposto, l'installer si chiude. Se invece è arrivata una risposta, l'Adware.Mac.WeDownload.1 manda sul server di gestione una richiesta POST contenente i dati di configurazione dell'installer nel formato JSON (JavaScript Object Notation) e in cambio riceve una pagina HTML con i contenuti della finestra da mostrare all'utente. Tutte le successive richieste GET e POST vengono dotate di un tag dell'ora attuale e di una firma digitale generata secondo un apposito algoritmo.
Dopo aver mandato una richiesta corrispondente, l'Adware.Mac.WeDownload.1 riceve dal server di gestione una lista delle applicazioni che verranno offerte all'utente per l'installazione. Tra di loro ci sono programmi indesiderati e francamente dannosi, in particolare: Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, diversi campioni della famiglia Trojan.Conduit e alcune altre applicazioni pericolose.
Quanti e quali programmi vengono installati, dipende dall'associazione geografica dell'indirizzo IP della vittima. Se la lista delle applicazioni è vuota, all'utente viene offerto per l'installazione qualcosa in più rispetto a quello che voleva scaricare inizialmente.
Gli specialisti Doctor Web consigliano nuovamente agli utenti dei computer Apple di essere attenti e di non scaricare applicazioni da fonti non attendibili. La firma antivirale dell'Adware.Mac.WeDownload.1 è stata aggiunta ai database dei virus, dunque questo installer non è un pericolo per gli utenti dell'Antivirus Dr.Web per Mac OS X.
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti