Aprende a identificar y eliminar el troyano ‘ladrón’ de bitcoins

bitcoin-troyano-eliminar-0

Si os acordais hace ya un tiempo hablamos de como había aparecido por la red un nuevo troyano programado para robar bitcoins en los equipos infectados.

Concretamente el troyano se trata de OSX / CoinThief y ha sido distribuido bajo cuatro nombres diferentes hasta ahora entre los que se encuentran BitVanity , StealthBit , Bitcoin Ticker TTM y Litecoin Ticker.

De entre todas estas variantes de nombres sabemos que los correspondientes a BitVanity y StealthBit se distribuyeron a través de la plataforma Github , mientras que Bitcoin Ticker TTM y Litecoin Ticker hicieron lo propio a través de Download.com y MacUpdate.com respectivamente.

Lo curioso es que estos nombres se eligieron de aplicaciones legítimas de la Mac App Store con el único propósito evidente de engañar al usuario, sin embargo lo peor no es esto sino que cuando se ejecuta en segundo plano instala una extensión en el navegador, ya sea Chrome, Safari o Firefox.

Una vez instalado veremos algo como ‘Pop-Up Blocker 1.0.0″ pero nada más lejos de la realidad, ya que simplemente se estará comunicando en remoto con un servidor para intentar recopilar las claves de acceso en cuanto se acceda a una web relacionada con Bitcoin quedando el proceso malicioso en segundo plano  permanente activo a través de una tarea launchd.

Para conseguir eliminarlo tendremos que seguir estos sencillos pasos:

  1. Buscaremos el proceso «com.google.softwareUpdateAgent» mediante el Monitor de Actividad en la carpeta de Utilidades.
  2. Comprobar que tenemos la extensión «Pop-Up Blocker» en Safari, Chrome u otro navegador estando el proceso anteriormente mencionado presente en el Monitor de actividad deberemos eliminarlo.
  3. Usaremos comandos en la terminal para esto, aunque antes deberemos borrar BitVanity, StealhBit… o cualquier programa que se haya instalado, arrastrandolo a la papelera.
  4. Abrimos la terminal e introducimos este comando:
    launchctl unload ~/Library/LaunchAgents/com.google.softwareUpdateAgent.plist
    Esto detendrá el proceso malicioso que está corriendo detrás aunque se puede dar el caso que nos devuelva un «No such file or directory, nothing found to unload» por lo que indicaría que dicho proceso no se está ejecutando aunque no está demás el comprobarlo.
  5. El siguiente paso es mover el propio archivo o malware al escritorio para posteriormente eliminarlo arrastrándolo a la papelera con el siguiente comando:
    mv ~/Library/Application Support/.com.google.softwareUpdateAgent ~/Desktop/com.google.softwareUpdateAgent
  6. Por último solo tendremos que mover al escritorio igualmente el archivo que invoca el launchd que es el proceso en segundo plano que se comunica con el servidor remoto:
    mv ~/Library/LaunchAgents/com.google.softwareUpdateAgent.plist ~/Desktop/com.google.softwareUpdateAgent.plist

Tan solo queda eliminar cualquier rastro de la extensión en el navegador de Pop-Up Blocker y ya estaríamos listos para navegar ‘mas tranquilos’.

Mas inforamción – Aparece un troyano capaz de robar Bitcoins de los Mac


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.