Stfw.RuСпециалисты компании «Доктор Веб» обнаружили новое семейство троянов Mac.Trojan.VSearch, показывающее вредоносные рекламные объявления в браузере жертвы. Вирусы нацелены на пользователей компьютеров под управлением OS X.
Троян распространяется с помощью дропперов, имитирующих программы установки легитимного ПО. Пользователь может по неосторожности загрузить вредонос со сторонних сайтов, предлагающих бесплатное ПО для OS X. Помимо самого трояна, во время установки дроппер также загружает и инсталлирует ряд нежелательных приложений наподобие MacKeeper, ZipCloud и Conduit.
После инфицирования ПК Mac.Trojan.VSearch обращается к C&C-серверу и загружает специальный сценарий, меняющий в настройках браузера поисковую систему и загружающий нежелательное расширение Browser Enhancer. В дальнейшем троян создает в операционной системе скрытую учетную запись и запускает прокси-сервер, встраивающий рекламные баннеры во все web-страницы с помощью javascript-сценария. Вирус также собирает данные об истории поисковых запросов.
За время наблюдения специалисты «Доктор Веб» зафиксировали порядка 1,735 млн запросов на загрузку вредоносного ПО с C&C-серверов, распространяющих троян. К серверам обращалось примерно 478 тысяч уникальных IP-адресов.
