2015年5月18日
株式会社Doctor Web Pacific
この望まないアプリケーションAdware.Mac.InstallCore.1は3つの主なフォルダ(bin、MacOS、Resources)を含むインストーラです。1つ目のフォルダにはアンチウイルスによってTool.Mac.ExtInstallerとして検出されるアプリケーションが含まれています。このアプリケーションはブラウザのアドインをインストールし、デフォルトのホームページまたは検索エンジンを変更します。MacOSフォルダにはインストーラのバイナリファイルが、ResourcesファイルにはSDKの主要な部分がJavaScriptとして含まれています。これらのスクリプトはAESアルゴリズムを用いて暗号化されている場合があります。
中でも特にSDKファイルには、ダウンロードするアプリケーションに関する情報を持った特別なセクションのある設定ファイルconfig.jsが含まれています。このセクションに含まれる情報は、システム上にインストールさせるアプリケーションの数、ユーザーによる追加のプログラムインストールを妨げるプログラムや仮想マシン、インストールさせるコンポーネントに関するものです。プログラムの動作には、この設定ファイルのほかに、ローカル設定ファイル内で指定されたアドレスのリモートサーバーから受け取ったまた別の設定ファイルが使用されます。ネットワークからダウンロードされたデータはXORアルゴリズムを用いて暗号化され、GZIPを用いて圧縮されています。復号化されたファイルにはインターフェースを正常に表示させるために必要な様々なデータや言語パラメータが含まれています。
scripts.jsファイルはシステム上にある仮想マシンや既にインストールされているアプリケーションの存在を確認します。OSがVirtualBox、VMWare Fusion、Parallels上で動作していた場合、またはシステム上で開発環境XCodeやデバッグソフトCharlesが検出された場合はユーザーに対して追加のプログラムをインストールするよう勧めることはありません。また、AVG、Avast、BitDefender、Comodo、ESET、Kaspersky、Sophos、Symantec、Intego、ClamAV、F-Secureのうちいずれかのアンチウイルスが検出された場合も、インストールを勧めてこない場合があります。Adware.Mac.InstallCore.1のブラックリストにはその他にもいくつかのアプリケーションが含まれています。
以下のリストは、Adware.Mac.InstallCore.1がシステム上にインストールすることのできるプログラムやユーティリティの一部です:
- Yahoo Search
- MacKeeper (Program.Unwanted.MacKeeper)
- ZipCloud
- WalletBee
- MacBooster 2
- PremierOpinion (Mac.BackDoor.OpinionSpy)
- RealCloud
- MaxSecure
- iBoostUp
- ElmediaPlayer
Dr.Web for Mac OS XのウイルスデータベースにはAdware.Mac.InstallCore.1のシグネチャが既に追加されているため、Dr.Webユーザーに危害が及ぶことはありません。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments