Leer hoe u de bitcoin 'dief' Trojan kunt identificeren en verwijderen

bitcoin-trojan-delete-0

Als u zich enige tijd geleden herinnert, hebben we het gehad over hoe een nieuw Trojaans paard dat was geprogrammeerd om bitcoins van geïnfecteerde computers te stelen, op het netwerk was verschenen.

In het bijzonder gaat de Trojan over OSX/CoinThief en het is tot dusver onder vier verschillende namen gedistribueerd, waaronder BitVanity, StealthBit, Bitcoin Ticker TTM en Litecoin Ticker.

Van al deze varianten van namen weten we dat degene die overeenkomen met BitVanity en StealthBit werden gedistribueerd via het Github-platform, terwijl Bitcoin Ticker TTM en Litecoin Ticker ze deden hetzelfde via respectievelijk Download.com en MacUpdate.com.

Het grappige is dat deze namen zijn gekozen uit legitieme applicaties uit de Mac App Store met het enige duidelijke doel om de gebruiker te misleiden, maar het ergste is niet dit, maar dat wanneer het op de achtergrond wordt uitgevoerd, het een extensie in de browser installeert, een van beide Chrome, Safari of Firefox.

Eenmaal geïnstalleerd zullen we zoiets zien 'Pop-upblokkering 1.0.0 ″ maar niets is minder waar, omdat het simpelweg op afstand communiceert met een server om te proberen de toegangssleutels te verzamelen zodra een Bitcoin-gerelateerde website wordt geopend, waardoor het kwaadaardige proces op de achtergrond permanent actief blijft via een taak die wordt gestart.

Om er vanaf te komen, zullen we deze eenvoudige stappen moeten volgen:

  1. We zoeken het proces "com.google.softwareUpdateAgent" via de Activity Monitor in de map Utilities.
  2. Controleer of we de extensie "Pop-Up Blocker" hebben in Safari, Chrome of een andere browser, met het bovengenoemde proces aanwezig in de Activity Monitor, we moeten deze verwijderen.
  3. We zullen hiervoor commando's in de terminal gebruiken, hoewel we eerst BitVanity, StealhBit ... of elk programma dat is geïnstalleerd, moeten verwijderen door het naar de prullenbak te slepen.
  4. We openen de terminal en voeren deze opdracht in:
    launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
    Dit stopt het kwaadaardige proces dat loopt achter hoewel het kan zijn dat het de melding "Geen bestand of map is niet gevonden, niets gevonden om te ontladen" teruggeeft, dus het zou erop wijzen dat het proces niet wordt uitgevoerd, hoewel het niet voldoende is om het te controleren.
  5. De volgende stap is om het bestand of de malware zelf naar het bureaublad te verplaatsen en later te verwijderen door het naar de prullenbak te slepen met de volgende opdracht:
    mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent
  6. Eindelijk hoeven we het alleen maar te doen ga naar desktop evenzo het bestand dat launchd aanroept, het achtergrondproces dat communiceert met de externe server:
    mv ~ / Bibliotheek / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist

Het blijft alleen om te elimineren elk spoor van de extensie in de Pop-Up Blocker-browser en we zouden klaar zijn om 'meer ontspannen' te browsen.

Meer info - Er verschijnt een Trojaans paard dat Bitcoins van Macs kan stelen


Wees de eerste om te reageren

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.