Ja atceraties pirms kāda laika, mēs runājām par to, kā tīklā parādījās jauns Trojas zirgs, kas ieprogrammēts nozagt bitkoīnus no inficētiem datoriem.
Konkrēti, Trojas zirgs ir apmēram OSX/CoinThief un līdz šim ir izplatīts ar četriem dažādiem nosaukumiem, tostarp BitVanity, StealthBit, Bitcoin Ticker TTM un Litecoin Ticker.
Starp visiem šiem nosaukumu variantiem mēs zinām, ka tie, kas atbilst BitVanity un StealthBit, tika izplatīti caur Github platformu, savukārt Bitcoin Ticker TTM un Litecoin Ticker viņi darīja to pašu, izmantojot attiecīgi Download.com un MacUpdate.com.
Smieklīgākais ir tas, ka šie vārdi tika izvēlēti no likumīgām lietojumprogrammām no Mac App Store ar vienīgo acīmredzamo mērķi maldināt lietotāju, tomēr vissliktākais ir nevis tas, bet tas, ka, darbojoties fonā, tas pārlūkprogrammā instalē paplašinājumu, arī Chrome, Safari vai Firefox.
Pēc instalēšanas mēs redzēsim kaut ko līdzīgu “Uznirstošo logu bloķētājs 1.0.0” bet nekas nav tālāk no patiesības, jo tas vienkārši sazināsies attālināti ar serveri, lai mēģinātu savākt piekļuves kodus, tiklīdz tiek atvērta ar Bitcoin saistīta vietne, atstājot ļaunprātīgo procesu fonā pastāvīgi aktīvu, izmantojot uzdevuma palaišanu.
Lai atbrīvotos no tā, mums būs jāveic šādas vienkāršas darbības:
- Procesu "com.google.softwareUpdateAgent" meklēsim, izmantojot mapi Utilities Activity Monitor.
- Pārbaudiet, vai pārlūkā Safari, Chrome vai citā pārlūkprogrammā ir paplašinājums "Uznirstošo logu bloķētājs", un iepriekš minētais process ir Aktivitātes monitorā, un tas ir jānovērš.
- Mēs tam izmantosim komandas terminālā, lai gan vispirms mums ir jāizdzēš BitVanity, StealhBit ... vai jebkura cita programma, kas ir instalēta, velkot to uz atkritni.
- Mēs atveram termināli un ievadām šo komandu:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Tas apturēs ļaunprātīgo procesu skrien aiz muguras lai gan tas var būt gadījums, kad tas atgriež "Nav šāda faila vai direktorija, nekas netika atrasts, lai izkrautu", tāpēc tas norāda, ka minētais process nedarbojas, lai gan tas nav pietiekami, lai to pārbaudītu. - Nākamais solis ir pārvietot failu vai ļaunprātīgu programmatūru uz darbvirsmu un vēlāk to izdzēst, velkot to uz miskasti ar šādu komandu:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Beidzot mums būs tikai jādara pāriet uz darbvirsmu tāpat fails, kas izsauc launchd, kas ir fona process, kas sazinās ar attālo serveri:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Atliek tikai likvidēt jebkādas pagarinājuma pēdas pārlūkprogrammā Uznirstošo logu bloķētājs, un mēs būtu gatavi pārlūkot “vairāk atvieglinātas”.
Plašāka informācija - parādās Trojas zirgs, kas spēj nozagt Bitcoins no Mac