Diese Installationsdatei, die durch Dr.Web Antivirus als Trojan.Downlite.1 erkannt wird, installiert die vertrauenswürdige Anwendung DlLite.app sowie weitere Plug-ins. Dabei wird der Benutzer von Mac OS X nach seinem Passwort gefragt.
Solche Plug-ins werden auch mit den Anwendungen wie MacVideoTunes, MediaCenter_XBMC, Popcorn-Time und VideoPlayer_MPlayerX verbreitet. Eine solche Anwendung ist zum Beispiel MoviePlayer (MacVideoTunes). Im ersten Schritt wird der Benutzer von MoviePlayer gebeten, den nicht signierten Installationsassistenten auszuführen.
Anschließend wird er aufgefordert, einen unbekannten "Optimizer" zu installieren. Dabei wird auch die Applikation installiert. Dieser Installationsassistent, der als Trojan.Vsearch.8 erkannt wird, ist aus funktionalen Sicht Trojan.Downlite.1 sehr ähnlich. Der Unterschied besteht darin, dass dev.Jack auf dem Rechner die Datei takeOverSearchAssetsMac.app (Trojan.Conduit.1) installiert.
In allen Fällen installiert der Assistent nützliche Dateien wie VSearchAgent.app, VSearchLoader.bundle, VSearchPlugIn.bundle, libVSearchLoader.dylib und VSInstallerHelper. Das Resultat ist eine aufdringliche Werbung, die den Mac-OS-X-Benutzern gezeigt wird. Darunter unter anderem:
markierte Schlüsselwörter mit Werbetext;
ein kleines Fenster unten links mit dem Button Hide Ad;
Banner auf Seiten der Suchmaschinen etc.
Die Experten raten: "Benutzer von Mac OS X sollten Anwendungen aus nicht vertrauenswürdigen Quellen ignorieren und bestenfalls eine Antivirensoftware benutzen."