SHA1
c7bcab5152e992e7057a102aca1815a81ebd0ade
5d896639ad59246c426c0e13b8785b067bacb4b9
4b26f00c484c772b8ad2596a5cdcc9624963c6ac
26cd1823b905d4be4427ae6ce22c6756fe3d4988
Вредоносная программа для OS X, устанавливающая другие вредоносные и опасные приложения. Распространяется в виде файла с расширением .pkg.
Установщик содержит следующие компоненты:
- NicePlayer.pkg
- Plugins
- Resources
- [TOC].xml
- Distribution
- Scripts
Папка Plugins содержит файл троянца, работа которого сводится к чтению из текстового файла Plugins\Offers.bundle\Contents\Resources\dc.txt идентификационного номера распространителя троянца в партнерской программе и отправке запроса на принадлежащий злоумышленникам сервер для получения списка устанавливаемых компонентов.
Сразу после запуска установщика в его окне отображается традиционное приветствие. По нажатии на кнопку Continue Mac.Trojan.VSearch.2 должен показать пользователю список компонентов, устанавливаемых помимо приложения, которое он хотел получить с самого начала. В этом списке пользователю обычно предоставляется возможность выбрать необходимые модули, однако на практике этого не происходит: инсталлятор сразу переходит к окну с предложением указать папку установки, при этом он настроен таким образом, будто пользователь сам отметил флажками все предложенные варианты.
Далее запускается сценарий из папки NicePlayer.pkg под названием preinstall. Сценарий проверяет наличие в системе виртуальной машины и отправляет на командный сервер запрос на получение скрипта для установки компонентов. Этот скрипт сохраняется под именем install_unit.sh.
В настоящий момент с помощью этого скрипта троянец устанавливает следующие компоненты:
- Client Updater - Mac.Trojan.VSearch.4
- Trovi - Mac.Trojan.Conduit
- MacKeeper - Program.Mac.Unwanted.MacKeeper
- ZipCloud - Program.Mac.Unwanted.ZipCloud
- Nice Player – приложение, которое изначально хотел скачать пользователь
