ПОЛЬЗОВАТЕЛЯМ

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Mac.Trojan.VSearch.4

Добавлен в вирусную базу Dr.Web: 2016-02-24

Описание добавлено:

SHA1 7e82a05a9854f979607b2f9427817bef4bca2dc1

Вредоносная программа для OS X, устанавливается троянцем Mac.Trojan.VSearch.2.

Cодержит следующие компоненты:


DemoUpdater.app
daemon_config.plist
install_updater.sh
preferences.plist
readme_upd.txt
st-up.sh
uninstall_updater.sh

При установке выполняет следующие шаги (определены в скрипте install_updater.sh):

  1. генерирует случайное имя для троянца и добавляет к нему значение "Upd" (далее — appName);
  2. записывает в файл "/Library/Preferences/com.common.plist" значение appName по ключу name_upd;
  3. создает файл "/Library/Preferences/com.appName.preferences.plist";
  4. в этот файл записываются следующие параметры:
    • dist_channel_id
    • machine_id
    • click_id
    • domain
  5. сам исполняемый файл копируется в /Library/appName;
  6. исполняемый файл троянца запускается с помощью launchctl load.

При запуске вредоносная программа расшифровывает ряд зашитых в ее тело параметров, которые необходимы для ее дальнейшей работы. Далее троянец читает файл /Library/Preferences/com.common.plist, чтобы определить местоположение конфигурационного файла с дополнительными параметрами. После получения параметров формируется URL вида:

http://domain/pd/pi?id=machine_id&d=dist_channel_id&cl=click_id

В ответ троянец получат ссылку, по которой скачивает файл сценария и передает его командному интерпретатору (!#/bin/bash).

Процесс повторной загрузки и запуска скрипта повторяется каждый день. Mac.Trojan.VSearch.4 может формировать несколько адресов для скачивания полезной нагрузки, всего специалисты компании «Доктор Веб» насчитали 406 возможных вариантов.

Одна из задач, которую выполняет этот сценарий, — загрузка с удаленного сервера и запуск троянца Mac.Trojan.VSearch.7. Помимо этого с помощью данного скрипта Mac.Trojan.VSearch.4 может установить в качестве поисковой службы по умолчанию сервер Trovi, а также скачать для браузеров Safari, Chrome и Firefox поисковый плагин, детектируемый Антивирусом Dr.Web как нежелательное приложение Program.Mac.Unwanted.BrowserEnhancer.1.

Новость о троянце

Рекомендации по лечению


macOS

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Российский разработчик антивирусов Dr.Web с 1992 года
Dr.Web в Реестре Отечественного ПО
Dr.Web совместим с российскими ОС и оборудованием
Dr.Web пользуются в 200+ странах мира
Техническая поддержка 24х7х365 Рус | En

Dr.Web © «Доктор Веб»
2003 — 2021

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125124, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А