Ak si pamätáte pred časom, hovorili sme o tom, ako sa v sieti objavil nový trójsky kôň naprogramovaný na krádež bitcoinov na infikovaných počítačoch.
Konkrétne ide o trójskeho koňa OSX/CoinThief a doteraz bol distribuovaný pod štyrmi rôznymi názvami vrátane BitVanity, StealthBit, Bitcoin Ticker TTM a Litecoin Ticker.
Medzi všetkými týmito variantmi mien vieme, že tie, ktoré zodpovedajú BitVanity a StealthBit, boli distribuované prostredníctvom platformy Github, zatiaľ čo Bitcoin Ticker TTM a Litecoin Ticker to isté urobili prostredníctvom stránok Download.com a MacUpdate.com.
Zábavné je, že tieto názvy boli vybrané z legitímnych aplikácií z Mac App Store s jediným zjavným účelom oklamania používateľa, najhoršie však nie je toto, ale to, že keď beží na pozadí, nainštaluje do prehliadača rozšírenie, buď Chrome, Safari alebo Firefox.
Po nainštalovaní uvidíme niečo ako „Blokovanie automaticky otváraných okien 1.0.0“ ale nič nie je ďalej od pravdy, pretože bude jednoducho komunikovať na diaľku so serverom, aby sa pokúsil zhromaždiť prístupové kľúče hneď po prístupe na webovú stránku súvisiacu s bitcoinmi, pričom škodlivý proces na pozadí bude trvale aktívny prostredníctvom spustenia úlohy.
Aby sme sa toho zbavili, budeme musieť postupovať podľa týchto jednoduchých krokov:
- Proces „com.google.softwareUpdateAgent“ budeme hľadať v aplikácii Activity Monitor v priečinku Utilities.
- Skontrolujte, či máme v prehliadači Safari, Chrome alebo inom prehliadači rozšírenie „Pop-Up Blocker“, pričom vyššie uvedený proces je prítomný v nástroji Activity Monitor, a preto ho musíme vylúčiť.
- Použijeme na to príkazy v termináli, aj keď najskôr musíme vymazať BitVanity, StealhBit ... alebo akýkoľvek program, ktorý bol nainštalovaný, a presunúť ho do koša.
- Otvoríme terminál a zadáme tento príkaz:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Týmto sa zastaví škodlivý proces, ktorý beží pozadu aj keď to môže byť v prípade, že vráti „Žiadny takýto súbor alebo adresár, nenašlo sa nič na vyloženie“, takže by to znamenalo, že uvedený proces nie je spustený, hoci to nestačí skontrolovať. - Ďalším krokom je presunutie samotného súboru alebo škodlivého softvéru na pracovnú plochu a neskoršie ich odstránenie presunutím do koša pomocou nasledujúceho príkazu:
mv ~ / Knižnica / Podpora aplikácií / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Nakoniec už budeme musieť iba presunúť na plochu podobne aj súbor, ktorý vyvolá launchd, čo je proces na pozadí, ktorý komunikuje so vzdialeným serverom:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Zostáva iba eliminovať akákoľvek stopa rozšírenia v prehliadači Blokovanie automaticky otváraných okien a boli by sme pripravení prehliadať stránky „uvoľnenejšie“.
Viac informácií - objaví sa trójsky kôň schopný kradnúť bitcoiny z počítačov Mac