Начнём издалека. Апрель 2012-го: специалисты из российской антивирусной компании Dr.Web забили в набат — усилиями троянской программы BackDoor.Flashback.39 больше полумиллиона Маков по всему миру объединились в бот-сеть, включая 274 машины прямиком в Купертино. На две следующие недели словечко «Flashback» стало главным пугалом в «макинтошной» вселенной, а внеплановый конфуз с сотнями тысяч заражённых Маков привёл к тому, что на официальном сайте компании пришлось втихомолку править список многочисленных достоинств компьютеров Apple. Так строчка «Неуязвим для тысяч Windows-вирусов» превратилась в обтекаемую фразу «Создан, чтобы быть безопасным».

Yontoo-nr0

Переносимся на год вперёд. Конец марта. Почти апрель. Dr.Web снова предупреждает: растёт процент компьютеров, инфицированных заразой под названием Trojan.Yontoo.1 (фирменным антивирусом идентифицируется как Adware.Plugin). Точнее, двойной заразой — эта троянская программа вполне в состоянии затерроризировать Мак-жертву сетевой рекламой.

Типичный способ подхватить компьютерную заразу выглядит следующим образом: на сайте с кинотрейлерами (http://www.movie2k.to/, вы предупреждены) пользователю предлагается установить дополнительный видеоплагин (как вариант — медиа-плеер или программу-качалку)…

Yontoo-nr1

… который после установки превращается в Yontoo — расширение для Safari, Firefox или Chrome. Собственно, это и есть слегка закмуфлированный троян, который отправляет на удаленный сервер сведения о загруженных на заражённом компьютере сайтах. В ответ приходит некий файл, который «позволяет вирусу вживлять в открытые Web-страницы фрагменты инородного кода».

Apple.com не исключение:

Yontoo-nr2