얼마 전을 기억한다면 감염된 컴퓨터에서 비트 코인을 훔치도록 프로그램 된 새로운 트로이 목마가 네트워크에 어떻게 나타 났는지에 대해 이야기했습니다.
특히 트로이 목마는 OSX / 코인시프 그리고 지금까지 BitVanity, StealthBit, Bitcoin Ticker TTM 및 Litecoin Ticker를 포함하여 XNUMX 개의 다른 이름으로 배포되었습니다.
이러한 모든 이름 변형 중에서 BitVanity 및 StealthBit에 해당하는 변형은 Github 플랫폼을 통해 배포되었으며 비트 코인 티커 TTM 및 라이트 코인 티커 그들은 각각 Download.com과 MacUpdate.com을 통해 똑같이했습니다.
재미있는 점은 이러한 이름이 Mac App Store의 합법적 인 응용 프로그램에서 선택되었으며 사용자를 속이려는 유일한 목적을 가지고 있다는 것입니다. 그러나 가장 나쁜 것은 이것이 아니라 백그라운드에서 실행될 때 브라우저에 확장 프로그램을 설치한다는 것입니다. 어느 한 쪽 Chrome, Safari 또는 Firefox.
설치되면 다음과 같은 내용이 표시됩니다. '팝업 차단기 1.0.0 ″ 그러나 비트 코인 관련 웹 사이트에 액세스하자마자 액세스 키를 수집하기 위해 서버와 원격으로 통신하기 때문에 작업이 시작되면 백그라운드에서 악성 프로세스가 영구적으로 활성화됩니다.
이를 제거하려면 다음과 같은 간단한 단계를 따라야합니다.
- Utilities 폴더의 Activity Monitor를 통해 "com.google.softwareUpdateAgent"프로세스를 찾습니다.
- Safari, Chrome 또는 다른 브라우저에 "Pop-Up Blocker"확장이 있는지 확인하고 앞서 언급 한 프로세스가 Activity Monitor에 있는지 확인하고이를 제거해야합니다.
- 이를 위해 터미널에서 명령을 사용하지만 BitVanity, StealhBit ... 또는 설치된 프로그램을 삭제하고 휴지통으로 드래그해야합니다.
- 터미널을 열고 다음 명령을 입력합니다.
launchctl 언로드 ~ / 라이브러리 / LaunchAgents / com.google.softwareUpdateAgent.plist
이렇게하면 악성 프로세스가 중지됩니다. 뒤쳐지고있다 "No such file or directory, nothing found to unload"를 반환하는 경우 일 수 있으므로 확인하는 것만으로는 충분하지 않지만 해당 프로세스가 실행되고 있지 않음을 나타냅니다. - 다음 단계는 파일 또는 맬웨어 자체를 데스크톱으로 이동 한 다음 나중에 다음 명령을 사용하여 휴지통으로 끌어서 삭제하는 것입니다.
mv ~ / 라이브러리 / 애플리케이션 지원 / .com.google.softwareUpdateAgent ~ / 데스크톱 / com.google.softwareUpdateAgent - 마지막으로 우리는 데스크탑으로 이동 원격 서버와 통신하는 백그라운드 프로세스 인 launchd를 호출하는 파일도 있습니다.
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
제거하는 것만 남아 확장의 흔적 팝업 차단기 브라우저에서 '더 편안하게'브라우징 할 준비가되었습니다.
추가 정보-Mac에서 비트 코인을 훔칠 수있는 트로이 목마가 나타납니다.