Apprenez à identifier et à supprimer le cheval de Troie `` voleur '' de bitcoin

bitcoin-trojan-delete-0

Si vous vous souvenez il y a quelque temps, nous avons expliqué comment un nouveau cheval de Troie programmé pour voler des bitcoins à des ordinateurs infectés était apparu sur le réseau.

Plus précisément, le cheval de Troie concerne OSX / voleur de pièces et il a été distribué sous quatre noms différents jusqu'à présent, notamment BitVanity, StealthBit, Bitcoin Ticker TTM et Litecoin Ticker.

Parmi toutes ces variantes de noms on sait que celles correspondant à BitVanity et StealthBit étaient distribuées via la plateforme Github, tandis que Bitcoin Ticker TTM et Litecoin Ticker ils ont fait de même via Download.com et MacUpdate.com respectivement.

Le plus drôle est que ces noms ont été choisis parmi des applications légitimes du Mac App Store dans le seul but évident de tromper l'utilisateur, mais le pire n'est pas cela mais que lorsqu'il s'exécute en arrière-plan, il installe une extension dans le navigateur, Soit Chrome, Safari ou Firefox.

Une fois installé, nous verrons quelque chose comme "Bloqueur de fenêtres pop-up 1.0.0" mais rien n'est plus éloigné de la vérité, car il communiquera simplement à distance avec un serveur pour essayer de collecter les clés d'accès dès qu'un site Web lié à Bitcoin est accédé, laissant le processus malveillant en arrière-plan actif en permanence via une tâche lancée.

Pour s'en débarrasser, nous devrons suivre ces étapes simples:

  1. Nous rechercherons le processus "com.google.softwareUpdateAgent" via le moniteur d'activité dans le dossier Utilitaires.
  2. Vérifiez que nous avons l'extension "Pop-Up Blocker" dans Safari, Chrome ou un autre navigateur, avec le processus susmentionné présent dans le moniteur d'activité, nous devons l'éliminer.
  3. Nous utiliserons des commandes dans le terminal pour cela, bien que nous devrons d'abord supprimer BitVanity, StealhBit ... ou tout programme qui a été installé, en le faisant glisser vers la corbeille.
  4. Nous ouvrons le terminal et entrons cette commande:
    launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
    Cela arrêtera le processus malveillant qui est en retard bien qu'il puisse être le cas qu'il retourne un "Aucun fichier ou répertoire de ce type, rien trouvé à décharger", cela indiquerait que ledit processus n'est pas en cours d'exécution bien qu'il ne soit pas suffisant de le vérifier.
  5. L'étape suivante consiste à déplacer le fichier ou le logiciel malveillant lui-même sur le bureau, puis à le supprimer en le faisant glisser vers la corbeille avec la commande suivante:
    mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent
  6. Enfin nous n'aurons plus qu'à passer au bureau de même le fichier qui appelle launchd, qui est le processus d'arrière-plan qui communique avec le serveur distant:
    mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist

Il ne reste plus qu'à éliminer toute trace de l'extension dans le navigateur Pop-Up Blocker et nous serions prêts à naviguer «plus détendu».

Plus d'informations - Un cheval de Troie capable de voler des Bitcoins sur Mac apparaît


Soyez le premier à commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.