Adware.Mac.WeDownload.1 stellt eine gefälschte Installationsdatei von Adobe Flash Player dar und hat die folgende digitale Signatur: "Developer ID Application: Simon Max (GW6F4C87KX)". Dieser Downloader verbreitet sich über ein Partnerprogramm, welches den Datentraffic monetisiert.
Während der Installation fragt Adware.Mac.WeDownload.1 nach den Rechten des Superadministrators und greift gemäß seiner Konfigurationsdatei auf drei Verwaltungsserver zu, um das Hauptfenster der Anwendung herunterzuladen. Wenn einer der Remote-Server nicht antwortet, bricht die Installation ab. Bei einer erfolgreichen Rückmeldung sendet Adware.Mac.WeDownload.1 eine POST-Anfrage, die die Konfigurationsdaten des Downloaders im JSON-Format (JavaScript Object Notation) enthält, und empfängt eine HTML-Datei mit vordefinierten Inhalten. Alle weiteren GET- und POST-Anfragen kennzeichnet er mit einer Zeitangabe und einer digitalen Signatur, die nach einem speziellen Algorithmus erstellt wird.
Nachdem Adware.Mac.WeDownload.1 seine Anfrage gesendet hat, empfängt er vom Verwaltungsserver eine Liste von Apps, die dem Benutzer dann zum Herunterladen angeboten werden. Unter diesen befinden sich sowohl unerwünschte als auch böswillige Programme wie Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, Vertreter von Trojan.Conduit usw.
Die Anzahl und der Umfang der zu installierenden Programme hängen von der IP-Adresse des Opfers ab. Wenn die Liste von Anwendungen leer ist, werden dem Benutzer keine weiteren Apps angeboten.
Die Sicherheitsanalysten von Doctor Web möchten alle Apple-Benutzer darauf aufmerksam machen, Software aus verdächtigen Quellen auf keinen Fall herunterzuladen.
Die Signatur für Adware.Mac.WeDownload.1 wurde in die Virendatenbank von Doctor Web aufgenommen. Der Schädling stellt deshalb für Anwender von Dr.Web Antivirus für Mac OS X keine Gefahr dar.