Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Un pericoloso programma-installer distribuisce trojan per Mac OS X

21 settembre 2015

Il mese corrente abbiamo già raccontato diverse volte dei trojan che installano varie applicazioni indesiderate e pubblicitarie sui computer degli utenti di Windows. Tuttavia, gli interessi degli attaccanti non si limitano a questo sistema operativo — recentemente gli analisti dei virus Doctor Web si sono imbattuti in un curioso campione di un installer di programmi pubblicitari per Mac OS X, denominato l'Adware.Mac.WeDownload.1.

Il campione Adware.Mac.WeDownload.1 , pervenuto al laboratorio antivirus Doctor Web, è una distribuzione contraffatta del lettore Adobe Flash Player, dotata della seguente firma digitale: "Developer ID Application: Simon Max (GW6F4C87KX)". Questo installer viene distribuito con impiego delle risorse di un partner program incentrato sulla monetizzazione di traffico di file.

screen Adware.Mac.WeDownload.1 #drweb

Nel processo dell'installazione l'1Adware.Mac.WeDownload.1 chiede di avere i permessi dell'amministratore di root del sistema operativo e per caricare la sua finestra principale si connette, ad uno dopo l'altro, a tre server di gestione di cui gli indirizzi sono memorizzati nel suo file di configurazione. Se nessuno dei nodi remoti ha risposto, l'installer si chiude. Se invece è arrivata una risposta, l'Adware.Mac.WeDownload.1 manda sul server di gestione una richiesta POST contenente i dati di configurazione dell'installer nel formato JSON (JavaScript Object Notation) e in cambio riceve una pagina HTML con i contenuti della finestra da mostrare all'utente. Tutte le successive richieste GET e POST vengono dotate di un tag dell'ora attuale e di una firma digitale generata secondo un apposito algoritmo.

Dopo aver mandato una richiesta corrispondente, l'Adware.Mac.WeDownload.1 riceve dal server di gestione una lista delle applicazioni che verranno offerte all'utente per l'installazione. Tra di loro ci sono programmi indesiderati e francamente dannosi, in particolare: Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, diversi campioni della famiglia Trojan.Conduit e alcune altre applicazioni pericolose.

screen Adware.Mac.WeDownload.1 #drweb

Quanti e quali programmi vengono installati, dipende dall'associazione geografica dell'indirizzo IP della vittima. Se la lista delle applicazioni è vuota, all'utente viene offerto per l'installazione qualcosa in più rispetto a quello che voleva scaricare inizialmente.

Gli specialisti Doctor Web consigliano nuovamente agli utenti dei computer Apple di essere attenti e di non scaricare applicazioni da fonti non attendibili. La firma antivirale dell'Adware.Mac.WeDownload.1 è stata aggiunta ai database dei virus, dunque questo installer non è un pericolo per gli utenti dell'Antivirus Dr.Web per Mac OS X.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A