Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Adware.Mac.InstallCore.1

Добавлен в вирусную базу Dr.Web:2015-05-13
Описание добавлено:2015-05-18

Установщик нежелательных приложений для операционной системы Mac OS X. Пакет содержит три значимые папки:

bin
MacOS
Resources

В папке bin располагается приложение, детектируемое Dr.Web под именем Tool.Mac.ExtInstaller, предназначенное для инсталляции расширений браузеров, замены стартовой страницы и используемой браузерами по умолчанию поисковой системы. Папка MacOS содержит двоичный файл установщика, а в папке Resources хранится основная часть SDK в виде сценариев на языке JavaScript. Эти сценарии могут быть представлены как в открытом виде, так и в зашифрованном с использованием алгоритма AES.

Основной файл конфигурации config.js расположен в папке Resources\skin\script\ и имеет следующий вид:

var appInfo = {
	scheme : 'MacMPlayerX',
	channel : '',
	account : 'MPlayerX',
	product_id : 'MPlayerX',
	report : 'http://rp.yameyepe.com',
	ad_url : 'http://os.yameyepe.com/MacMPlayerX/?v=5.0',
	img_base_url : 'http://img.yameyepe.com/img/',
	isdlm : true,
	terms_url : '',
	privacy_url : '',
	eula_url : '', // will only be used if this is a DLM
	ad_timeout : 4000,
	requires_root: false,
	root_if_installed : [ '' ],
	name : '',
	title : '',
	ad_timeout : 4000,
	style : 'pkg',
	language : 'EN',
	useOSLang : true,
	disableConfirm : false,
	window: {
		width : 764,
		height : 500
	},
	//used by pkg types
	logo : {
		x : 1,
		y : 47,
		width : 186,
		height : 140
	}
};
var prodInfo = {
	title : 'MPlayerX',
	package_id : 'MPlayerX',
	package : 'http://cznic.dl.sourceforge.net/project/mplayerx-osx/MPlayerX-1.0.22.1.zip',
	mountOnly : '',
	root_if_installed : 'org.niltsh.MPlayerX',
	type : 'install',
	preinstall: '',
	app_name : 'MPlayerX'
};
var offersInfo = {
	max_offers : 0,
	vmcs : {},
	cancels : [],
	offers : []
};

Раздел offersInfo включает следующие параметры:

  • max_offers - максимальное число предлагаемых для установки приложений;
  • vmcs – список виртуальных машин, при обнаружении которых пользователю не будут навязываться дополнительные приложения;
  • cancels - приложения, при обнаружении которых пользователю не будут навязываться дополнительные приложения;
  • offers – список предлагаемых для установки приложений.

Данный конфигурационный файл — не единственный, используемый программой в процессе ее работы: еще один она получает с удаленного сервера, адрес которого указан в локальном файле конфигурации в поле "ad_url". На этот адрес направляется POST-запрос, в ответ на который приходит зашифрованный пакет, имеющий следующую структуру:

struct st_encrypted_packet
{
  _BYTE data[];
  _BYTE signature; // 0xFE
  _DWORD datalen; // sizeof(data)
  _DWORD xorkey;
}

Данные data зашифрованы с использованием алгоритма XOR и сжаты при помощи GZIP. Расшифрованный файл содержит различные языковые параметры, необходимые для отображения элементов интерфейса установщика, а также иные данные.

В файле Resources\skin\script\scripts.js реализована проверка наличия на компьютере виртуальных машин:

...
var disableVM = false;
...
function runningFromVM() {
        var result = false;
        var macAdress = mciapiEnvironment.macAddressString();
        var vmMacAdressPrefixes = ['001c42', '080027', '000c29', '000569', '001c14', '005056'];
        for (var i = 0; i < vmMacAdressPrefixes.length; i++) {
                var vmMacAdressPrefix = vmMacAdressPrefixes[i];
                if (macAdress.indexOf(vmMacAdressPrefix) == 0) {
                        result = true;
                        break;
                }
        }
        return result;
}

Программа не будет навязывать пользователю установку дополнительных приложений на компьютере, если она запущена в виртуальных машинах VirtualBox, VMWare Fusion или Parallels, либо если на «маке» удается выявить присутствие пакета среды разработки XCode или приложения Charles, используемого для отладки. Также известны случаи, когда установка посторонних программ не предлагалась при обнаружении антивирусов AVG, Avast, BitDefender, Comodo, ESET, Kaspersky, Sophos, Symantec, Intego, ClamAV и F-Secure.

Файл установщика может иметь одну из следующих цифровых подписей:

Developer ID Application: Ben Werthaouf
Developer ID Application: Adlogica, Inc.
Developer ID Application: Sylvester Andrews
Developer ID Application: Javier Griffin
Developer ID Application: Zongyao Qu
Developer ID Application: Darrel Cannon
Developer ID Application: RealNetworks, Inc

Среди программ и утилит, устанавливаемых на компьютер Adware.Mac.InstallCore.1, можно перечислить следующие:

  • Yahoo Search;
  • MacKeeper (Program.Unwanted.MacKeeper);
  • ZipCloud;
  • WalletBee (Adware.Mac.DealPly.1);
  • MacBooster 2 (Program.Unwanted.MacBooster);
  • PremierOpinion (Mac.BackDoor.OpinionSpy);
  • RealCloud;
  • MaxSecure;
  • iBoostUp;
  • ElmediaPlayer.

Новость о данной программе

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А