压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Dr. Web的文章中提到了一個廣告分發軟件的安裝程序，具體的來說應該是偽裝成一個有用的應用程序或者是mp3文件，然而其文章中并沒有直接提到搭載惡意安裝程序的網站！筆者在其文章中截圖內找到了一個URL： listentoyoutube.com，接著與該站點進行交互，該網站提供youtube視頻音樂等下載服務

擅于觀察的讀者可能會發現這個復選框中的內容（默認勾選），“下載加速器并獲取幫助”選項。單擊下載按鈕就會下載一個.dmg后綴的圖像，其命名與mp3文件明相同。執行該文件后用戶會被感染，安裝多個頑固性廣告軟件。

文章中提到該圖片文件中包含一個“引人注目的結構；其包含有兩個隱藏文件夾，如果用戶下定決心要看DMG文件中的內容需要使用Finder工具”。 其中提到引人注目的IMHO結構并不起眼，這兩個文件夾無非就是前綴加上了一個“.”而已，僅僅只是為了不被輕易發現，而使用Finder工具默認是會顯 示出來的。同樣也可以使用終端進行查看：

當加載好.dmg文件之后（雙擊即可），如下所示：

雙擊打開<song>_mp3.app，就會執行macLauncher(MD5: 5f1e998e0213364ae44472495a71f123)，該二進制只是簡單的執行一個名為Downloader的應用程序，該程序位于隱藏 的.app文件夾下。有趣的是，這是通過編程調用AppleScript腳本：

正如其名，“Downloader”是一個用來下載（安裝）其他軟件的應用程序。在二進制字符串中暴露了其名稱“macInstaller”，版本“1.7.12-d”以及MD5值“a6a23e7815d08a596da37e38b466e7a2”。

執行期間，該軟件使用頑固廣告軟件感染系統，在本文中暫不分析這些頑固廣告軟件。經過一陣的分析，其包含有一個Genieo變種。

該廣告軟件會引起各種意外或者惡意行為。比如，以不同的方式通過惡意瀏覽器擴展進行瀏覽器劫持。了解更多這些惡意擴展可以訪問KnockKnock

Genieo正努力的嘗試作為一個LaunchAgent保持其頑固性，還好BlockBlock能夠進行攔截

在VirusTotal中暫時還沒有該Genieo變種的版本號[VirusTotal詳細信息]，Dr. Web以及其他殺毒引擎并未發現該惡意軟件的存在。

樣本下載

鏈接：http://pan.baidu.com/s/1eQyEjzc 密碼：oswx

視頻：https://player.vimeo.com/video/125345793