Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Adware.Mac.WeDownload.1

Added to the Dr.Web virus database: 2015-09-15

Virus description added:

Malware téléchargeant des applications ciblant Mac OS X, possédant la signature digitale suivante : "Developer ID Application: Simon Max (GW6F4C87KX)". Chemin vers le dossier de montage sur l’ordinateur du développeur :

/Users/bogdancarmanus/Sites/download-manager-mac/DownloadManager/

Structure de l'image DMG :

Installer.app
.app

où ".app" - est un fichier de configuration crypté. L'encodage base64 et l'algorithme RC4 sont utilisés pour le cryptage (qui donnera lieu à une ligne en utf-8). Un exemple de fichier de configuration :

{
    "program_name": "Adobe Flash Player",
    "mirrors": ["http:\/\/fpdownload.macromedia.com\/get\/flashplayer\/pdc\/17.0.0.134\/install_flash_player_osx.dmg"],
    "api_key": "046073b03739711e23d9c307b94707b46e435467",
    "icon_url": "https:\/\/d1sx0cjuasqkw9.cloudfront.net\/installer-icons\/245\/046073b03739711e23d9c307b94707b46e435467.jpeg",
    "properties": {
        "program_name": "Adobe Flash Player",
        "prg": "7ltLcPzz_KAYIbT3rB0-wLaIytmcWoShM2U8I3yo8_K9HZfdYtzMPGsr4imyRhHz_MQa1mykPxKIf1OZ4HfsmUrhD4wsWABUbUrtKgiTptiN46xVxTRxO6ZW5epAVQl3vCYBUWhG_GN7KvVhQEyviVYYOUlcHA0pb7gRcN_E08HfrecprCGvemEb4xHF29ko9qshW2F4VDpEUS4b-wDBZPVm7owfXLNbrn35mKh5vrrOE2rs4IpBpje6XO_XGLGs"
    },
    "download_manager_identifier": 1442281855,
    "license": "",
    "version": "",
    "size": "",
    "file_name": "Adobe_Flash_Player.dmg",
    "disable_root": "false",
    "browser": "Google Chrome"
}

Lors de son installation, Adware.Mac.WeDownload.1 demande les droits de super administrateur de l'OS et s'adresse consécutivement à trois serveurs de gestion dont il contient les adresses. Si l'un des serveurs ne répond pas, l'installateur s'arrête.

En cas de réponse, Adware.Mac.WeDownload.1 envoie au serveur de gestion une requête POST contenant des données de configuration en JSON (JavaScript Object Notation), et reçoit en réponse une page en HTML qu'il affichera à l'utilisateur. Toutes les autres requêtes GET et POST enregistrent l'heure et la signature digitale suivante :

s=<len>-<hash>r

où len - la longueur de données, hash – le hachage de données HMAC_SHA256 en utilisant la clé intégrée à l'application. Puis le Trojan envoie une requête au serveur de gestion pour obtenir la liste de fichiers :

GET /eligibility.php?api_key=046073b03739711e23d9c307b94707b46e435467&os=mac&properties[program_name]=Adobe%20Flash%20Player&properties[prg]=7ltLcPzz_KAYIbT3rB0-wLaIytmcWoShM2U8I3yo8_K9HZfdYtzMPGsr4imyRhHz_MQa1mykPxKIf1OZ4HfsmUrhD4wsWABUbUrtKgiTptiN46xVxTRxO6ZW5epAVQl3vCYBUWhG_GN7KvVhQEyviVYYOUlcHA0pb7gRcN_E08HfrecprCGvemEb4xHF29ko9qshW2F4VDpEUS4b-wDBZPVm7owfXLNbrn35mKh5vrrOE2rs4IpBpje6XO_XGLGs&dl_id=1442281855&browser=Safari&os_version=10.9&t=1442327369&s=454-11a7d7d9739c3d34991058e8b3f8f4a999634ab6fe6614754be301520c74226br HTTP/1.1
Host: api.xtrdlapi.com
Referer: http://api.xtrdlapi.com/interface/mac/?v=4
Accept-Encoding: gzip, deflate
Accept: application/json, text/plain, */*
Accept-Language: en-us
Connection: keep-alive
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/537.78.2 (KHTML, like Gecko)

où api_key, dl_id, properties[program_name], properties[prg] - les paramètres du fichier de configuration, browser - navigateur par défaut, os_version - version de l'OS.

En réponse, le serveur envoie un bloc de données en JSON (JavaScript Object Notation), qui inclut la liste des applications à installer. Parmi elles :

  • MacKeeper (Program.Unwanted.MacKeeper);
  • Crossrider (Mac.Trojan.Crossrider);
  • Genieo (Mac.Trojan.Genieo);
  • Conduit (Trojan.Conduit);
  • Advanced Mac Cleaner (Program.Mac.Unwanted.AMC);
  • Yahoo Search (Yahoo, avec l'ID du partenaire, devient le moteur de recherche par défaut) ;
  • ZipCloud (Program.Mac.Unwanted.ZipCloud);
  • MacBooster (Program.Unwanted.MacBooster);
  • TuneUpMyMac (Program.Unwanted.TuneUpMymac);
  • PremierOpinion (Mac.BackDoor.OpinionSpy);
  • InstallCore (Adware.Mac.InstallCore).

Le nombre et la liste de logiciels à installer dépendent de la géolocalisation de l'IP de la victime. Si cette liste d’applications est vide, l'utilisateur installera uniquement le logiciel qu'il souhaitait.

A propos de ce malware

Recommandations pour le traitement

  1. Si le système d'exploitation peut être démarré (en mode normal ou en mode sans échec), téléchargez Dr.Web Security Space et lancez un scan complet de votre ordinateur et de tous les supports amovibles que vous utilisez. En savoir plus sur Dr.Web Security Space.
  2. Si le démarrage du système d'exploitation est impossible, veuillez modifier les paramètres du BIOS de votre ordinateur pour démarrer votre ordinateur via CD/DVD ou clé USB. Téléchargez l'image du disque de secours de restauration du système Dr.Web® LiveDisk ou l'utilitaire pour enregistrer Dr.Web® LiveDisk sur une clé USB, puis préparez la clé USB appropriée. Démarrez l'ordinateur à l'aide de cette clé et lancez le scan complet et le traitement des menaces détectées.

Veuillez lancer le scan complet du système à l'aide de Dr.Web Antivirus pour Mac OS.

Veuillez lancer le scan complet de toutes les partitions du disque à l'aide de Dr.Web Antivirus pour Linux.

  1. Si votre appareil mobile fonctionne correctement, veuillez télécharger et installer sur votre appareil mobile Dr.Web pour Android. Lancez un scan complet et suivez les recommandations sur la neutralisation des menaces détectées.
  2. Si l'appareil mobile est bloqué par le Trojan de la famille Android.Locker (un message sur la violation grave de la loi ou la demande d'une rançon est affiché sur l'écran de l'appareil mobile), procédez comme suit:
    • démarrez votre Smartphone ou votre tablette en mode sans échec (si vous ne savez pas comment faire, consultez la documentation de l'appareil mobile ou contactez le fabricant) ;
    • puis téléchargez et installez sur votre appareil mobile Dr.Web pour Android et lancez un scan complet puis suivez les recommandations sur la neutralisation des menaces détectées ;
    • Débranchez votre appareil et rebranchez-le.

En savoir plus sur Dr.Web pour Android