Фахівці компанії "Доктор Веб" виявили шкідливу програму Adware.Mac.InstallCore.1, призначену для "тихої" установки, а також нав'язування різних непотрібних додатків і надбудов браузерів без відома власника комп'ютера під управлінням Mac OS X.

Adware.Mac.InstallCore.1 являє собою інсталятор, пакет якого містить три значущі папки: bin, MacOS і Resources. У першій з них розташовується додаток, детектируемое Dr.Web під ім'ям Tool.Mac.ExtInstaller, призначене для інсталяції розширень для браузерів, заміни стартової сторінки і використовуваної браузерами за замовчуванням пошукової системи. Папка MacOS традиційно містить двійковий файл інсталятора, а в папці Resources зберігається основна частина SDK у вигляді сценаріїв на мові JavaScript. Ці сценарії можуть бути представлені як у відкритому вигляді, так і в зашифрованому з використанням алгоритму AES.

Зокрема, серед файлів SDK розташовується конфігураційний файл config.js, містить спеціальний розділ, який визначає, які саме програми будуть запропоновані користувачу для установки. У цьому розділі зазначено, скільки додатків слід інсталювати на комп'ютер, при виявленні яких програм або віртуальних машин користувачеві не будуть нав'язуватися додаткові програми, і наведений список встановлюваних компонентів. При цьому наявний у складі додатка конфігураційний файл - не єдиний, який використовується даною програмою в процесі її роботи: ще один вона отримує з віддаленого сервера, адресу якого вказано в локальному файлі конфігурації. Завантажуються з мережі дані шифруються з використанням алгоритму XOR і стиснуті за допомогою GZIP. Розшифрований файл містить різні мовні параметри, необхідні для відображення елементів інтерфейсу установника, а також інші дані.

В іншому файлі, scripts.js реалізована основна логіка роботи інсталятора, у тому числі перевірка наявності на комп'ютері віртуальних машин і деяких раніше проинсталлированных додатків. Програма не буде нав'язувати користувачу установку сторонніх компонентів, якщо вона запущена у віртуальних машинах VirtualBox, VMWare Fusion або Parallels, або якщо на "маці" вдається виявити присутність пакету середовища розробки XCode або додатка Charles, використовуваного для налагодження. Серед програм і утиліт, які встановлюються на комп'ютер Adware.Mac.InstallCore.1, можна назвати Yahoo Search, MacKeeper, ZipCloud, WalletBee, MacBooster 2, ElmediaPlayer та інші.