Ha emlékszel valamikor ezelőtt, arról beszéltünk, hogy a fertőzött számítógépekről bitcoinokat lopni tervezett új trójai program megjelent a hálózaton.
Pontosabban a trójai kb OSX/CoinThief és eddig négy különböző néven terjesztették, köztük BitVanity, StealthBit, Bitcoin Ticker TTM és Litecoin Ticker.
Mindezen névváltozatok között tudjuk, hogy a BitVanity és a StealthBit megfelelőket a Github platformon keresztül terjesztették, míg Bitcoin Ticker TTM és Litecoin Ticker ugyanezt tették a Download.com és a MacUpdate.com oldalakon keresztül.
A vicces dolog az, hogy ezeket a neveket a Mac App Store legitim alkalmazásai közül választották ki, a felhasználó megtévesztésének egyetlen nyilvánvaló célja, a legrosszabb azonban nem ez, hanem az, hogy amikor a háttérben fut, telepít egy kiterjesztést a böngészőbe, bármelyik Chrome, Safari vagy Firefox.
A telepítés után valami hasonlót fogunk látni 'Pop-Up Blocker 1.0.0' de semmi sincs távolabb az igazságtól, mivel egyszerűen távolról kommunikál egy szerverrel, hogy megpróbálja összegyűjteni a belépési kódokat, amint elérik a Bitcoin-szal kapcsolatos webhelyet, és a háttérben futó rosszindulatú folyamat véglegesen aktív marad egy feladat launchd révén.
Megszabadulásához ezeket az egyszerű lépéseket kell követnünk:
- A "com.google.softwareUpdateAgent" folyamatot az Utilities mappában található Activity Monitor segítségével keressük meg.
- Ellenőrizze, hogy van-e a „Pop-Up Blocker” kiterjesztés a Safariban, a Chrome-ban vagy egy másik böngészőben, és a fent említett folyamat jelen van az Activity Monitor alkalmazásban, meg kell szüntetnünk.
- Ehhez a terminálon lévő parancsokat fogjuk használni, bár mielőtt törölnünk kellene a BitVanity-t, a StealhBit-et ... vagy bármely más telepített programot, a kukába húzva.
- Megnyitjuk a terminált, és beírjuk ezt a parancsot:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Ez megállítja a rosszindulatú folyamatot fut mögötte bár előfordulhat, hogy a "Nincs ilyen fájl vagy könyvtár, semmi sem található a kirakodáshoz" szóval azt jelzi, hogy az említett folyamat nem fut, bár nem szükséges ellenőrizni. - A következő lépés a fájl vagy a rosszindulatú program áthelyezése az asztalra, majd később a következő paranccsal a kukába húzással törölje:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Végül csak nekünk kell lépjen az asztalra hasonlóképpen az a fájl, amely meghívja az launchd programot, amely a távoli szerverrel kommunikáló háttérfolyamat:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Csak a megszüntetés marad a meghosszabbítás bármilyen nyoma a Pop-Up Blocker böngészőben, és készen állunk a "nyugodtabb" böngészésre.
További információ - Megjelenik egy olyan trójai program, amely képes bitcoinokat lopni Mac-ekből