Adware.Mac.InstallCore.1

Установщик нежелательных приложений для операционной системы Mac OS X. Пакет содержит три значимые папки:

bin
MacOS
Resources

В папке bin располагается приложение, детектируемое Dr.Web под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы. Папка MacOS содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.

Основной файл конфигурации config.js расположен в папке Resources\skin\script\ и имеет следующий вид:

var appInfo = {
	scheme : 'MacMPlayerX',
	channel : '',
	account : 'MPlayerX',
	product_id : 'MPlayerX',
	report : 'http://rp.yameyepe.com',
	ad_url : 'http://os.yameyepe.com/MacMPlayerX/?v=5.0',
	img_base_url : 'http://img.yameyepe.com/img/',
	isdlm : true,
	terms_url : '',
	privacy_url : '',
	eula_url : '', // will only be used if this is a DLM
	ad_timeout : 4000,
	requires_root: false,
	root_if_installed : [ '' ],
	name : '',
	title : '',
	ad_timeout : 4000,
	style : 'pkg',
	language : 'EN',
	useOSLang : true,
	disableConfirm : false,
	window: {
		width : 764,
		height : 500
	},
	//used by pkg types
	logo : {
		x : 1,
		y : 47,
		width : 186,
		height : 140
	}
};
var prodInfo = {
	title : 'MPlayerX',
	package_id : 'MPlayerX',
	package : 'http://cznic.dl.sourceforge.net/project/mplayerx-osx/MPlayerX-1.0.22.1.zip',
	mountOnly : '',
	root_if_installed : 'org.niltsh.MPlayerX',
	type : 'install',
	preinstall: '',
	app_name : 'MPlayerX'
};
var offersInfo = {
	max_offers : 0,
	vmcs : {},
	cancels : [],
	offers : []
};

Раздел offersInfo включает следующие параметры:

• max_offers - максимальное число предлагаемых для установки приложений;
• vmcs – список виртуальных машин, при обнаружении которых пользователю не будут навязываться дополнительные приложения;
• cancels - приложения, при обнаружении которых пользователю не будут навязываться дополнительные приложения;
• offers – список предлагаемых для установки приложений.

Данный конфигурационный файл — не единственный, используемый программой в процессе ее работы: еще один она получает с удаленного сервера, адрес которого указан в локальном файле конфигурации в поле "ad_url". На этот адрес направляется POST-запрос, в ответ на который приходит зашифрованный пакет, имеющий следующую структуру:

struct st_encrypted_packet
{
  _BYTE data[];
  _BYTE signature; // 0xFE
  _DWORD datalen; // sizeof(data)
  _DWORD xorkey;
}

Данные data зашифрованы с использованием алгоритма XOR и сжаты при помощи GZIP. Расшифрованный файл содержит различные языковые параметры, необходимые для отображения элементов интерфейса установщика, а также иные данные.

В файле Resources\skin\script\scripts.js реализована проверка наличия на компьютере виртуальных машин:

...
var disableVM = false;
...
function runningFromVM() {
        var result = false;
        var macAdress = mciapiEnvironment.macAddressString();
        var vmMacAdressPrefixes = ['001c42', '080027', '000c29', '000569', '001c14', '005056'];
        for (var i = 0; i < vmMacAdressPrefixes.length; i++) {
                var vmMacAdressPrefix = vmMacAdressPrefixes[i];
                if (macAdress.indexOf(vmMacAdressPrefix) == 0) {
                        result = true;
                        break;
                }
        }
        return result;
}

Программа не будет навязывать пользователю установку дополнительных приложений на компьютере, если она запущена в виртуальных машинах VirtualBox, VMWare Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки. Также известны случаи, когда установка посторонних программ не предлагалась при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure.

Файл установщика может иметь одну из следующих цифровых подписей:

Developer ID Application: Ben Werthaouf
Developer ID Application: Adlogica, Inc.
Developer ID Application: Sylvester Andrews
Developer ID Application: Javier Griffin
Developer ID Application: Zongyao Qu
Developer ID Application: Darrel Cannon
Developer ID Application: RealNetworks, Inc

Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1, можно перечислить следующие:

• Yahoo Search;
• MacKeeper (Program.Unwanted.MacKeeper);
• ZipCloud;
• WalletBee (Adware.Mac.DealPly.1);
• MacBooster 2 (Program.Unwanted.MacBooster);
• PremierOpinion (Mac.BackDoor.OpinionSpy);
• RealCloud;
• MaxSecure;
• iBoostUp;
• ElmediaPlayer.

Новость о данной программе