Αν θυμάστε πριν από λίγο καιρό, μιλήσαμε για το πώς ένας νέος Trojan προγραμματίστηκε να κλέψει bitcoin από μολυσμένους υπολογιστές είχε εμφανιστεί στο δίκτυο.
Συγκεκριμένα, ο Τρώος πρόκειται OSX/CoinThief και έχει διανεμηθεί με τέσσερα διαφορετικά ονόματα μέχρι στιγμής μεταξύ των οποίων είναι τα BitVanity, StealthBit, Bitcoin Ticker TTM και Litecoin Ticker.
Μεταξύ όλων αυτών των παραλλαγών ονομάτων γνωρίζουμε ότι αυτές που αντιστοιχούν στα BitVanity και StealthBit διανεμήθηκαν μέσω της πλατφόρμας Github, ενώ Bitcoin Ticker TTM και Litecoin Ticker έκαναν το ίδιο μέσω του Download.com και του MacUpdate.com αντίστοιχα.
Το αστείο είναι ότι αυτά τα ονόματα επιλέχθηκαν από νόμιμες εφαρμογές από το Mac App Store με τον μοναδικό προφανή σκοπό να εξαπατήσουν τον χρήστη, ωστόσο το χειρότερο δεν είναι αυτό, αλλά όταν εκτελείται στο παρασκήνιο εγκαθιστά μια επέκταση στο πρόγραμμα περιήγησης, είτε Chrome, Safari ή Firefox.
Μόλις εγκατασταθεί θα δούμε κάτι σαν «Αποκλεισμός αναδυόμενων παραθύρων 1.0.0» αλλά τίποτα δεν είναι πιο μακριά από την αλήθεια, καθώς απλώς θα επικοινωνεί εξ αποστάσεως με έναν διακομιστή για να προσπαθήσει να συλλέξει τα κλειδιά πρόσβασης μόλις αποκτήσει πρόσβαση σε έναν ιστότοπο που σχετίζεται με Bitcoin, αφήνοντας την κακόβουλη διαδικασία στο παρασκήνιο ενεργή μόνιμα μέσω μιας εκκίνησης εργασίας.
Για να το ξεφορτωθούμε θα πρέπει να ακολουθήσουμε αυτά τα απλά βήματα:
- Θα αναζητήσουμε τη διαδικασία "com.google.softwareUpdateAgent" μέσω του Monitor Monitor στο φάκελο Utilities.
- Βεβαιωθείτε ότι έχουμε την επέκταση "Αποκλεισμός αναδυόμενων παραθύρων" στο Safari, το Chrome ή άλλο πρόγραμμα περιήγησης, με την προαναφερθείσα διαδικασία να υπάρχει στο Monitor Monitor, πρέπει να την εξαλείψουμε.
- Θα χρησιμοποιήσουμε εντολές στο τερματικό για αυτό, αν και πριν πρέπει να διαγράψουμε το BitVanity, το StealhBit ... ή οποιοδήποτε πρόγραμμα έχει εγκατασταθεί, σύροντάς το στον κάδο απορριμμάτων.
- Ανοίγουμε το τερματικό και εισάγουμε αυτήν την εντολή:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Αυτό θα σταματήσει την κακόβουλη διαδικασία που τρέχει πίσω Αν και μπορεί να επιστρέψει "Δεν υπάρχει τέτοιο αρχείο ή κατάλογος, δεν βρέθηκε τίποτα για εκφόρτωση", οπότε θα έδειχνε ότι η εν λόγω διαδικασία δεν εκτελείται, αν και δεν αρκεί να τον ελέγξετε. - Το επόμενο βήμα είναι να μετακινήσετε το ίδιο το αρχείο ή το κακόβουλο λογισμικό στην επιφάνεια εργασίας και αργότερα να το διαγράψετε σύροντάς το στον κάδο απορριμμάτων με την ακόλουθη εντολή:
mv ~ / Βιβλιοθήκη / Υποστήριξη εφαρμογών / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Τέλος θα πρέπει μόνο μεταβείτε στην επιφάνεια εργασίας Ομοίως το αρχείο που επικαλείται το launchd που είναι η διαδικασία φόντου που επικοινωνεί με τον απομακρυσμένο διακομιστή:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Απομένει μόνο να εξαλειφθεί οποιοδήποτε ίχνος της επέκτασης στο πρόγραμμα περιήγησης Pop-Up Blocker και θα είμαστε έτοιμοι να περιηγηθούμε «πιο χαλαροί».
Περισσότερες πληροφορίες - Εμφανίζεται ένας Δούρειος ικανός να κλέβει Bitcoin από Mac