Če se spomnite pred časom, smo govorili o tem, kako se je v omrežju pojavil nov trojanski program, ki je programiran za krajo bitcoinov iz okuženih računalnikov.
Natančneje, gre za trojanec OSX/CoinThief in je bil do zdaj distribuiran pod štirimi različnimi imeni, vključno z BitVanity, StealthBit, Bitcoin Ticker TTM in Litecoin Ticker.
Med vsemi temi različicami imen vemo, da so bila tista, ki ustrezajo BitVanity in StealthBit, distribuirana prek platforme Github, medtem ko Bitcoin Ticker TTM in Litecoin Ticker enako so storili prek Download.com oziroma MacUpdate.com.
Smešno je, da so bila ta imena izbrana med zakonitimi aplikacijami iz trgovine Mac App Store z edinim očitnim namenom zavajati uporabnika, vendar najhujše ni to, ampak da, ko deluje v ozadju, namesti razširitev v brskalnik, bodisi Chrome, Safari ali Firefox.
Po namestitvi bomo videli nekaj takega 'Blokator pojavnih oken 1.0.0 ″ a nič ni dlje od resnice, saj bo preprosto na daljavo komuniciral s strežnikom, da bi poskušal zbrati ključe za dostop takoj, ko se dostopa do spletnega mesta, povezanega z Bitcoinom, zaradi česar bo zlonamerni proces v ozadju trajno aktiven z zagonom naloge.
Da se ga znebimo, bomo morali slediti tem preprostim korakom:
- Postopek "com.google.softwareUpdateAgent" bomo iskali prek Monitorja dejavnosti v mapi Utilities.
- Preverite, ali imamo v Safariju, Chromu ali drugem brskalniku razširitev »Blokator pojavnih oken«, pri čemer je omenjeni postopek prisoten v Nadzorniku dejavnosti, zato ga moramo odpraviti.
- Za to bomo uporabili ukaze v terminalu, čeprav moramo pred brisanjem BitVanity, StealhBit ... ali katerega koli nameščenega programa povleči v koš.
- Odpremo terminal in vnesemo ta ukaz:
launchctlload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
To bo ustavilo zlonamerni postopek, ki teče zadaj čeprav se lahko zgodi, da vrne "Ni take datoteke ali imenika, ni bilo mogoče najti ničesar za razkladanje", kar bi pomenilo, da se omenjeni postopek ne izvaja, čeprav ni dovolj za preverjanje. - Naslednji korak je premakniti datoteko ali zlonamerno programsko opremo na namizje in jo pozneje izbrisati tako, da jo povlečete v koš s tem ukazom:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Končno bomo le morali premakni na namizje prav tako datoteka, ki prikliče launchd, ki je proces v ozadju, ki komunicira z oddaljenim strežnikom:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Ostaja le odpraviti kakršne koli sledi razširitve v brskalniku Pop-Up Blocker in bi bili pripravljeni brskati bolj sproščeno.
Več informacij - Prikaže se trojanski računalnik, ki lahko krade bitcoine iz računalnikov Mac