SHA1 c206a19d7fb4a7dbabe3f1a0d9bfa8476356ecb2
Вредоносная программа для OS X, устанавливается троянцем Mac.Trojan.VSearch.4.
Cодержит следующие компоненты:
DemoInjector.app
change_net_settings.sh
com.pref.net-preferences.plist
com.pref.preferences.plist
install_Injector.sh
readme_inj.txt
uninstall_injector.sh
При установке cоздает пользователя со случайным именем и паролем test ID = 401 (который не отображается в окне приветствия OS X) и перенаправляет весь HTTP-трафик со всех интерфейсов на локальный порт 9882. На этом порту Mac.Trojan.VSearch.7 запускает прокси-сервер, который встраивает во все открываемые в окне браузера веб-страницы сценарий на языке JavaScript. Сценарий троянец получает с помощью URL вида:
http://domain/sm/mu?id=machine_id&d=dist_channel_id&cl=click_id
Все необходимые для своей работы параметры троянец получает из файла /Library/Preferences/com.appName.preferences.plist, где appName – имя, сгенерированное случайным образом.
Внедряемый троянцем в веб-страницы скрипт показывает пользователю OS X рекламные баннеры, передает на сервер злоумышленников статистику, а также собирает пользовательские поисковые запросы к серверам, список которых имеется в самом сценарии:
www.google.
www.bing.
.ask.
search.whitesmoke
thesmartsearch
