Установщик нежелательных и вредоносных программ для операционной системы Mac OS X, создан с использованием ресурсов партнерской программы для монетизации приложений macdownloadpro.com. На сегодняшний день известно более 900 сайтов, участвующих в распространении данного установщика.
Образ установщика Adware.Mac.MacInst.1 содержит две скрытые папки, которые не будут демонстрироваться на компьютере со стандартными настройками операционной системы, если пользователь решит просмотреть содержимое DMG-файла в программе Finder.
.app
.background
application.app
Сама директория расположения приложения (в данном примере — application.app) содержит бинарный файл, запускающий программу-установщик из каталога ".app\Downloader.app\Contents\MacOS".
Папка ".app" содержит два каталога:
.resources
Downloader.app
В папке ".resources" размещено изображение с логотипом этого приложения и зашифрованный с использованием «самодельного» алгоритма конфигурационный файл. Он расшифровывается построчно со сбросом seed’а в изначальное значение после каждой строки.
Второй каталог содержит сам установщик.
При запуске установщик демонстрирует на экране компьютера соответствующее окно, где сначала отображается информация о запрошенном пользователем файле, который он изначально и собирался скачать.
По нажатии на кнопку «Next» установщик демонстрирует партнерское предложение, подразумевающее, что помимо требуемого файла программа установит и некоторые дополнительные компоненты. Если пользователь нажмет на едва заметную ссылку «Decline» в нижней части окна, на его компьютер будет загружен только изначально выбранный им файл, однако по нажатии на кнопку «Next» вместе с ним программа скачает из Интернета и запустит другую программу, детектируемую Антивирусом Dr.Web как Trojan.VIndinstaller.3.
Это приложение, в свою очередь, устанавливает на компьютер вредоносные надстройки для браузеров Safari, Firefox и Chrome, детектируемые как троянцы семейства Trojan.Crossrider. Все скачанные из Интернета компоненты Adware.Mac.MacInst.1 копирует в папку "~/Library/Application Support/osxDownloader".
