Компания безопасности Доктор Веб сообщает о новой
атаке рекламного трояна, направленного на пользователей Mac; он на вредоносных веб-сайтах будет заставлять пользователей устанавливать плагин, который будет отслеживать просмотр интернета и показывать рекламные объявления.
Вредоносная программа, называемая "Yontoo" сперва проявляет себя, как медиа-плеер, менеджер закачек, или другой плагин требуемый для просмотра содержимого на некоторых вредоносных веб-сайтах под видом источника для совместного использования файлов и фильмов. Когда приглашение плагина принимается, вы будете перенаправлены на сайт, с которого загружается троянец установки и требует, чтобы вы запустили его. Установщик для поддельной программы назвывается "Twit Tube", при установке он разместит веб-плагин или расширение под названием "Yontoo", который будет работать в популярных браузерах таких, как Сафари, Хром и Фаерфокс.
Когда вредоносная программа запускается, пострадавшая система будут активно отслеживаться на предмет поведения в сети и законные веб-сайты при этом будут подменяться на рекламные баннеры и другой контент, который попытаются заманить вас кликнуть по нему.
Если вы недавно установили подозрительный плагин в вашей системе и видите, что появляются странные ссылки на посещаемых веб-сайтах, надо проверить установленные плагины на предмет поиска следов этой вредоносной программы. Вы можете сделать это в Сафари и Хром, перейдя в раздел "Расширения" чтобы увидеть, нет ли чего с названием Yontoo, но вы можете также выбрать опцию "Установленные плагины" в меню справки Сафари, чтобы просмотреть информацию о ваших плагинах. Для Chrome, скопируйте и вставьте в строку "chrome://plugins/" в адресной строке браузера, чтобы добраться до установленных плагинов в настройках. В Фаерфокс вы можете выбрать "Дополнения" в меню "Инструменты" для проверки расширений и плагинов.
Если вы нашли следы плагина Yontoo в вашей системе, то хотя вы можете отключить его в каждом веб-браузере, более действенный способ - перейти в папку "Macintosh HD> Library> Internet Plug-Ins" и удалить плагин вручную. Кроме того, вы должны проверить плагин в папке вашего домашнего каталога, к которой можно получить, выбрав библиотеку в меню GO в Файндере (удерживайте клавишу Option, чтобы показать библиотеку в этом меню, если она отсутствует), а затем найдите здесь папку "Интернет плагины". Когда плагин будет удален, закройте и перезапустите ваш браузер.
Так как веб-плагины являются одним из методов для разработчиков вредоносных программ на целевой системе, есть одна вещь, которую вы можете сделать, чтобы помочь защититься от нападения - это получить список ваших папок веб-плагинов, так чтобы вы точно знали, что в них есть. А затем будет возможность лучше исследовать любые новые вещи, установленные там. Другой подобный подход заключается в создании службы мониторинга в OS X, которая будет информировать вас, когда новые элементы будут размещены в папку интернете плагинов на вашем компьютере. Для этого надо контролировать папки агента запуска на Mac, и вы можете аналогичным образом применить этот метод к следующим двум путям каталогов в дополнение к строкам агента запуска:
Macintosh HD> Library> Internet Plug-Ins
Macintosh HD > Users > имя пользователя> Library > Internet Plug-InsО создании агента запуска на OS X можно поискать материалы в сети, так ка это довольно объёмная тема.
