С начала текущего года антивирусные компании фиксируют увеличение количества рекламных утилит для всех популярных операционных систем, включая Mac OS X. Злоумышленники стараются заработать на партнерских программах рекламных платформ и все чаще обращают внимание на обладателей компьютеров Apple. Именно к такому виду вредоносного ПО относится выявленный недавно вирус Trojan.Yontoo.1 (в базах "Доктор Веб").
Троянская утилита может проникнуть в систему несколькими способами. Например, для распространения используются сайты с новинками кино, при открытии которых появляется предложение инсталлировать новый плагин для обозревателя. В реальности данная панель просто имитирует ту, которая выводится браузером при попытке установить новое расширение или надстройку. Если пользователь соглашается на установку, происходит перенаправление на страницу с вредоносным приложением Trojan.Yontoo.1.
Распространяется данный вирус также и под видом медиаплеера, менеджера загрузок, приложения для улучшения качества видео и т.д.
После инсталляции в систему Trojan.Yontoo.1 предлагает пользователю установить программу Free Twit Tube. Однако после согласия пользователя на загрузку, троянское приложение подключается к удаленному серверу и устанавливает оттуда специальное расширение Yontoo для браузеров, наиболее распространенных среди пользователей Mac OS X (Firefox, Chrome, Safari). Этот модуль в процессе работы браузера способен скрытно отслеживать открываемые страницы и передавать на управляющий сервер собранные данные.
В ответ троянская программа получает специальный файл, способный интегрировать в открываемые в обозревателе страницы различные рекламные блоки.
Такие плагины для обозревателей детектируются антивирусными пакетами как Adware.Plugin. Стоит отметить, что аналогичные схемы распространения "рекламных" вирусов существуют и для платформы Windows.
Предложение установить программу Free Twit Tube.
