Ако си спомняте преди време, говорихме за това как в мрежата се появи нов троянец, програмиран да краде биткойни от заразени компютри.
По-конкретно, троянецът е за OSX/CoinThief и досега се разпространяваше под четири различни имена, включително BitVanity, StealthBit, Bitcoin Ticker TTM и Litecoin Ticker.
Сред всички тези варианти на имена знаем, че съответстващите на BitVanity и StealthBit се разпространяват чрез платформата Github, докато Bitcoin Ticker TTM и Litecoin Ticker те направиха същото чрез Download.com и MacUpdate.com съответно.
Смешното е, че тези имена са избрани от легитимни приложения от Mac App Store с единствената очевидна цел да заблудят потребителя, но най-лошото е не това, а че когато работи във фонов режим, той инсталира разширение в браузъра, или Chrome, Safari или Firefox.
Веднъж инсталирани ще видим нещо подобно 'Блокиране на изскачащи прозорци 1.0.0 ″ но нищо не е по-далеч от истината, тъй като просто ще комуникирате отдалечено със сървър, за да се опитате да съберете ключовете за достъп веднага щом влезете в уебсайт, свързан с биткойн, оставяйки вредоносния процес във фонов режим постоянно активен чрез стартиране на задача.
За да се отървем от него, ще трябва да следваме тези прости стъпки:
- Ще потърсим процеса „com.google.softwareUpdateAgent“ чрез монитора на активността в папката Utilities.
- Проверете дали имаме разширението „Блокиращ прозорец за изскачащи прозорци“ в Safari, Chrome или друг браузър, като гореспоменатият процес присъства в Activity Monitor, трябва да го премахнем.
- За това ще използваме команди в терминала, макар че преди да трябва да изтрием BitVanity, StealhBit ... или която и да е програма, която е била инсталирана, плъзнете я в кошчето.
- Отваряме терминала и въвеждаме тази команда:
launchctl load ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Това ще спре зловредния процес, който тича отзад въпреки че може да се случи, че връща „Няма такъв файл или директория, нищо не е намерено за разтоварване“, така че това ще означава, че споменатият процес не се изпълнява, въпреки че не е достатъчно да го проверите. - Следващата стъпка е да преместите файла или самия зловреден софтуер на работния плот и по-късно да го изтриете, като го плъзнете в кошчето със следната команда:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Накрая ще трябва само преместване на работния плот по същия начин файлът, който извиква launchd, който е фонов процес, който комуникира с отдалечения сървър:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Остава само да се елиминира всяка следа от разширението в браузъра Pop-Up Blocker и ще сме готови да разглеждаме „по-спокойно“.
Повече информация - Появява се троянец, способен да краде биткойни от Mac