למד כיצד לזהות ולהסיר את הטרויאני 'גנב' הביטקוין

Miguel Ángel Juncos

2 דקות

bitcoin-trojan-delete-0

אם אתה זוכר לפני זמן מה, דיברנו על איך טרויאני חדש שתוכנת לגנוב ביטקוינים ממחשבים נגועים הופיע ברשת.

באופן ספציפי, הטרויאני הוא בערך OSX/CoinThief והוא הופץ עד כה בארבעה שמות שונים כולל BitVanity, StealthBit, Bitcoin Ticker TTM ו- Litecoin Ticker.

בין כל גרסאות השמות הללו אנו יודעים כי אלה המתאימים ל- BitVanity ו- StealthBit הופצו באמצעות פלטפורמת Github, בעוד טיקרון ביטקוין TTM וטיקר ליטקוין הם עשו זאת גם דרך Download.com ו- MacUpdate.com בהתאמה.

הדבר המצחיק הוא ששמות אלה נבחרו מתוך יישומים לגיטימיים מחנות האפליקציות של Mac במטרה הברורה היחידה להונות את המשתמש, אולם הדבר הגרוע ביותר אינו זה אלא שכאשר הוא פועל ברקע הוא מתקין סיומת בדפדפן, אוֹ כרום, ספארי או פיירפוקס.

לאחר ההתקנה נראה משהו כמו 'חוסם חלונות קופצים 1.0.0 ″ אך שום דבר אינו רחוק מהאמת, מכיוון שהוא פשוט יתקשר מרחוק עם שרת כדי לנסות לאסוף את מפתחות הגישה ברגע שניגש לאתר הקשור לביטקוין, ומשאיר את התהליך הזדוני ברקע פעיל לצמיתות באמצעות השקת משימה.

כדי להיפטר ממנו נצטרך לבצע את הצעדים הפשוטים הבאים:

  1. אנו נחפש את התהליך "com.google.softwareUpdateAgent" דרך צג הפעילות בתיקיה כלי עזר.
  2. בדוק שיש לנו את התוסף "חוסם חלונות קופצים" בספארי, כרום או דפדפן אחר, כאשר התהליך הנ"ל נמצא במעקב הפעילויות, עלינו לבטל אותו.
  3. אנו נשתמש בפקודות במסוף לשם כך, אם כי ראשית עלינו למחוק את BitVanity, StealhBit ... או כל תוכנית שהותקנה, וגרור אותה לפח.
  4. אנו פותחים את המסוף ומכניסים פקודה זו:
    launchctl לפרוק ~ / ​​Library / LaunchAgents / com.google.softwareUpdateAgent.plist
    זה יפסיק את התהליך הזדוני רץ מאחור למרות שזה יכול להיות המקרה שהוא מחזיר "אין קובץ או ספרייה כאלה, שום דבר לא נמצא לפרוק" ולכן זה היה מצביע על כך שהתהליך האמור אינו פועל אם כי אין זה מספיק כדי לבדוק אותו.
  5. השלב הבא הוא העברת הקובץ או התוכנה הזדונית עצמה לשולחן העבודה ובהמשך למחוק אותו על ידי גרירתו לפח עם הפקודה הבאה:
    mv ~ / Library / Support Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent
  6. לבסוף נצטרך רק לעבור לשולחן העבודה כמו כן הקובץ הקורא ל- launchd, שהוא תהליך הרקע שמתקשר עם השרת המרוחק:
    mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist

נותר רק לחסל כל זכר להארכה בדפדפן Pop-Up Blocker ואנחנו נהיה מוכנים לגלוש 'רגועים יותר'.

מידע נוסף - מופיע סוס טרויאני המסוגל לגנוב ביטקוינים ממחשבי מקינטוש


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.