Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Adware.Mac.Tuguu.1

Added to the Dr.Web virus database: 2015-11-06

Virus description added:

SHA1

  • 1b41c5e14f17d3a695c94fcbe696294ec0bc96f2 (dmg)
  • a6a6d0050d9ac5d69eef7228cfd0fb4480e06bb1 (mach-o)

Un installateur d’applications indésirables ciblant Mac OS X. Lors de son lancement, ce malware lit le fichier de configuration ".payload" stocké dans le dossier du malware. Il possède un autre fichier "payload" qu'il n'utilise pas. Ce fichier possède la structure suivante :

host|hex-encoded json

Le format de JSON :

{
 "publisher": "790",
 "uid": "14375585952507RhhhlENdR",
 "campaign": "1882", 
 "extra": {
      "ttbpromo": "DDL", 
      "ttbaff": "54ec7d5f5f1c1e2452000008", 
      "nrid": "14375585952507RhhhlENdR", 
      "ip": "213.***.**.60", 
      "tt": "aac2d73c437d76f03ba0609d4e2a6bcae556aa8e", 
      "ttbtt": "ddl", 
      "lpd": "www.best*****pp.com", 
      "ttbhash": "IP1lNCYV", 
      "requestHost": "admin.best*****file.com", 
      "ttbvar": "", 
      "referer": "", 
      "build": "469", 
      "time": "2015/07/22 10:49:55", 
      "ttbts": "55759fba5f1c1e6c39000000", 
      "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36", 
      "fileName": "MPlayer", 
      "osVersion": "0", 
      "os": "MacOSX", 
      "browser": "ch"
 }, 
 "url": "", 
 "usedBrowser": "ch", 
 "sign": "sm1",
 "caption": "", 
 "host": "domain.com", 
 "carrier": "FastPlayerMac"
}

Après son lancement, l'installateur remplace le sous-domaine du serveur C&C par la valeur «api», par exemple si le fichier de configuration utilise l'URL "admin.best*****file.com", l'adresse du serveur C&C sera "api.best*****file.com".

Pour obtenir la liste des applications qui seront installées, l'installateur génère l'URL et la crypte en utilisant une clé générée de façon aléatoire. Pour le chiffrement, il utilise AES en mode CBC. Ensuite, il génère la ligne :

hexencode(iv+key+encoded_url)

et envoie la requête suivante :

http://api.<domen>/<hexencoded>

L'URL du serveur qui fournit les applications est générée comme suit :

http://api.<domen>/stan/api/<publisher>/<campaign>/<carrier>/<language>/<region>/?browser=<browser>&ip=<ip>

Les champs suivants sont empruntés du fichier de configuration :

publisher
campaign
carrier
ip
browser

La variable browser peut avoir les valeurs suivantes :

 ["ff", "ch", "sf","op"]

Tous les autres champs sont remplis par les données déterminées en fonction de l'OS.

La réponse du serveur C&C est cryptée par une clé intégrée au corps de l'installateur et comprend la liste des applications qu'il peut installer sur le Mac infecté. La réponse possède les champs suivants :

  • id - l'identificateur de l'application à installer. Selon le nombre d'id disponibles, il existe 736 options possibles.
  • score – l' évaluation " de l'application. Comme le nombre d'applications à installer simultanément est limité, l'installateur essaie de créer une liste optimale de logiciels (qui n'ont pas de conflits avec le système et entre eux) avec une évaluation maximum.
  • appUrl – l'adresse pour télécharger un fichier.
  • restrictions - liste des id d'applications proposées pour être installées. Par exemple, il ne va pas installer en même temps MacKeeper et MacKeeper Grouped.

Chaque application comprend 3 champs, contenant des scripts en JavaScript, cryptés en Base64 :

  • preCheck - vérifie si l'application est déjà installée dans le système ;
  • macBehavior - code qui installe l'application ;
  • postCheck - vérification de la réussite de l'installation.

Le malware prévoit le mode Custom Installation, qui permet de refuser d'installer des logiciels supplémentaires.

screen Adware.Mac.Tuguu.1 #drweb

News sur cette menace

Recommandations pour le traitement

  1. Si le système d'exploitation peut être démarré (en mode normal ou en mode sans échec), téléchargez Dr.Web Security Space et lancez un scan complet de votre ordinateur et de tous les supports amovibles que vous utilisez. En savoir plus sur Dr.Web Security Space.
  2. Si le démarrage du système d'exploitation est impossible, veuillez modifier les paramètres du BIOS de votre ordinateur pour démarrer votre ordinateur via CD/DVD ou clé USB. Téléchargez l'image du disque de secours de restauration du système Dr.Web® LiveDisk ou l'utilitaire pour enregistrer Dr.Web® LiveDisk sur une clé USB, puis préparez la clé USB appropriée. Démarrez l'ordinateur à l'aide de cette clé et lancez le scan complet et le traitement des menaces détectées.

Veuillez lancer le scan complet du système à l'aide de Dr.Web Antivirus pour Mac OS.

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile Dr.Web pour Android. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur la violation grave de la loi ou la demande d'une rançon est affiché sur l'écran de l'appareil mobile), procédez comme suit:
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil mobile Dr.Web pour Android et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android