SHA1 7e82a05a9854f979607b2f9427817bef4bca2dc1
Вредоносная программа для OS X, устанавливается троянцем Mac.Trojan.VSearch.2.
Cодержит следующие компоненты:
DemoUpdater.app
daemon_config.plist
install_updater.sh
preferences.plist
readme_upd.txt
st-up.sh
uninstall_updater.sh
При установке выполняет следующие шаги (определены в скрипте install_updater.sh):
- генерирует случайное имя для троянца и добавляет к нему значение "Upd" (далее — appName);
- записывает в файл "/Library/Preferences/com.common.plist" значение appName по ключу name_upd;
- создает файл "/Library/Preferences/com.appName.preferences.plist";
- в этот файл записываются следующие параметры:
- dist_channel_id
- machine_id
- click_id
- domain
- сам исполняемый файл копируется в /Library/appName;
- исполняемый файл троянца запускается с помощью launchctl load.
При запуске вредоносная программа расшифровывает ряд зашитых в ее тело параметров, которые необходимы для ее дальнейшей работы. Далее троянец читает файл /Library/Preferences/com.common.plist, чтобы определить местоположение конфигурационного файла с дополнительными параметрами. После получения параметров формируется URL вида:
http://domain/pd/pi?id=machine_id&d=dist_channel_id&cl=click_id
В ответ троянец получат ссылку, по которой скачивает файл сценария и передает его командному интерпретатору (!#/bin/bash).
Процесс повторной загрузки и запуска скрипта повторяется каждый день. Mac.Trojan.VSearch.4 может формировать несколько адресов для скачивания полезной нагрузки, всего специалисты компании «Доктор Веб» насчитали 406 возможных вариантов.
Одна из задач, которую выполняет этот сценарий, — загрузка с удаленного сервера и запуск троянца Mac.Trojan.VSearch.7. Помимо этого с помощью данного скрипта Mac.Trojan.VSearch.4 может установить в качестве поисковой службы по умолчанию сервер Trovi, а также скачать для браузеров Safari, Chrome и Firefox поисковый плагин, детектируемый Антивирусом Dr.Web как нежелательное приложение Program.Mac.Unwanted.BrowserEnhancer.1.
