Hvis du husker det for en tid siden, snakket vi om hvordan en ny trojan som var programmert til å stjele bitcoins fra infiserte datamaskiner, hadde dukket opp i nettverket.
Spesielt handler Trojan om OSX/CoinThief og den har blitt distribuert under fire forskjellige navn så langt, inkludert BitVanity, StealthBit, Bitcoin Ticker TTM og Litecoin Ticker.
Blant alle disse variantene av navn vet vi at de som tilsvarer BitVanity og StealthBit ble distribuert gjennom Github-plattformen, mens Bitcoin Ticker TTM og Litecoin Ticker de gjorde det samme gjennom henholdsvis Download.com og MacUpdate.com.
Det morsomme er at disse navnene ble valgt fra legitime applikasjoner fra Mac App Store med det eneste åpenbare formål å lure brukeren, men det verste er ikke dette, men at når det kjører i bakgrunnen, installerer det en utvidelse i nettleseren, enten Chrome, Safari eller Firefox.
Når den er installert, ser vi noe lignende Pop-up-blokkering 1.0.0 ″ men ingenting er lenger fra sannheten, siden det ganske enkelt vil kommunisere eksternt med en server for å prøve å samle inn tilgangskodene så snart et Bitcoin-relatert nettsted er tilgjengelig, og etterlate den ondsinnede prosessen i bakgrunnen permanent aktiv gjennom en oppgavelansering.
For å bli kvitt det, må vi følge disse enkle trinnene:
- Vi vil se etter prosessen "com.google.softwareUpdateAgent" gjennom Aktivitetsovervåker i Verktøy-mappen.
- Sjekk at vi har "Pop-Up Blocker" -utvidelsen i Safari, Chrome eller en annen nettleser, med den nevnte prosessen i Aktivitetsovervåker, vi må eliminere den.
- Vi vil bruke kommandoer i terminalen for dette, men før vi må slette BitVanity, StealhBit ... eller et hvilket som helst program som er installert, drar vi det til søpla.
- Vi åpner terminalen og skriver inn denne kommandoen:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Dette vil stoppe den ondsinnede prosessen som løper bak selv om det kan være tilfelle at den returnerer en "Ingen slik fil eller katalog, ingenting funnet å laste ut", så det vil indikere at nevnte prosess ikke kjører, selv om det ikke er nødvendig å sjekke den. - Neste trinn er å flytte selve filen eller skadelig programvare til skrivebordet og senere slette den ved å dra den til søpla med følgende kommando:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Endelig må vi bare flytt til skrivebordet på samme måte filen som påkaller launchd, som er bakgrunnsprosessen som kommuniserer med den eksterne serveren:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Det gjenstår bare å eliminere noe spor av utvidelsen i Pop-Up Blocker-nettleseren, og vi vil være klare til å bla gjennom 'mer avslappet'.
Mer info - En trojan som kan stjele Bitcoins fra Mac-maskiner vises