恶意软件过去几年，关于感染 Mac 的窃取恶意软件的讨论过多。但其他恶意软件家族和恶意软件类别（包括可能不需要的应用程序 (PUA)）在 Mac 上也仍然很常见。以 OSX/Adload 广告软件为例。我们在 Mac 安全博客上讨论 Adload 已经近十年了，而且它仍然没有消失。过去一周，我们的研究人员重新审视了一些最近的 Adload 样本。以下是我们发现的内容。在本文中：OSX/Adload 有什么新功能？从历史上看，Adload 广告软件一直通过特洛伊木马进行分发。例如，它曾经伪装成 Flash Player 安装程序。后来，UpdateAgent 及其后继 WizardAgent 将 Adload 作为附加负载分发。 （请参阅所有提到 Adload 的文章。）在检查 OSX/Adload 的最新变体时，我们观察到大多数已编译的 Mach-O（本机 Mac 可执行应用程序）文件的检测率通常约为 VirusTotal（一个多引擎文件扫描网站）上防病毒引擎的三分之一到二分之一。一般来说，这是 Mac 恶意软件相当常见的检测率。最近的 Adload 样本通常是使用临时签名进行自签名的。但是在评估 Adload 的反编译 Python 代码时，我们注意到 VirusTotal 上的 60 多个引擎都没有检测到反编译的 Adload Python 样本（请参阅下面 IOC 部分中的 6eb4433f… 文件）。需要明确的是，这并不一定意味着所有其他防病毒产品在最终用户系统上主动运行时不会在执行时检测到恶意代码；但这确实意味着，至少按照供应商请求的配置，VirusTotal 对这些引擎的实现不会检测到静态文件。此外，VirusTotal 使用的 96 个域信誉工具中只有一个将感染媒介站点的域 (m.advancedsprint[.]com)（包括子域及其父域）检测为恶意。这表明，广告软件的