Если вы помните, некоторое время назад мы говорили о том, как в сети появился новый троянец, запрограммированный на кражу биткойнов с зараженных компьютеров.
В частности, троянец о OS X / CoinThief и до сих пор он распространялся под четырьмя разными именами, включая BitVanity, StealthBit, Bitcoin Ticker TTM и Litecoin Ticker.
Из всех этих вариантов имен известно, что те, которые соответствуют BitVanity и StealthBit, распространялись через платформу Github, а Биткойн-тикер TTM и Litecoin-тикер они сделали то же самое через Download.com и MacUpdate.com соответственно.
Забавно то, что эти имена были выбраны из законных приложений из Mac App Store с единственной очевидной целью - обмануть пользователя, однако хуже всего не это, а то, что когда оно работает в фоновом режиме, оно устанавливает расширение в браузере, либо Chrome, Safari или Firefox.
После установки мы увидим что-то вроде 'Блокировщик всплывающих окон 1.0.0 ″ но нет ничего более далекого от истины, поскольку вы просто будете удаленно связываться с сервером, чтобы попытаться собрать ключи доступа, как только вы войдете на веб-сайт, связанный с биткойнами, оставляя вредоносный процесс в фоновом режиме постоянно активным через запуск задачи.
Чтобы избавиться от него, нам нужно будет выполнить следующие простые шаги:
- Мы будем искать процесс com.google.softwareUpdateAgent через Activity Monitor в папке Utilities.
- Убедитесь, что у нас есть расширение «Блокировщик всплывающих окон» в Safari, Chrome или другом браузере, с вышеупомянутым процессом, присутствующим в Мониторе активности, мы должны устранить его.
- Для этого мы будем использовать команды в терминале, хотя сначала нам нужно будет удалить BitVanity, StealhBit ... или любую установленную программу, перетащив ее в корзину.
- Открываем терминал и вводим эту команду:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Это остановит вредоносный процесс, который бежит позади хотя может случиться так, что он вернет «Нет такого файла или каталога, ничего не найдено для выгрузки», поэтому это будет означать, что указанный процесс не запущен, хотя этого недостаточно для его проверки. - Следующий шаг - переместить файл или вредоносную программу на рабочий стол, а затем удалить его, перетащив в корзину с помощью следующей команды:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Наконец нам останется только перейти на рабочий стол аналогично файл, который вызывает launchd, который является фоновым процессом, который взаимодействует с удаленным сервером:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Осталось только устранить любые следы расширения в браузере блокировщика всплывающих окон, и мы были бы готовы просматривать «более расслабленно».
Дополнительная информация - появляется троянец, способный украсть биткойны с компьютеров Mac.