Om du kommer ihåg för en tid sedan pratade vi om hur en ny Trojan programmerad att stjäla bitcoins från infekterade datorer hade dykt upp i nätverket.
Specifikt handlar Trojan om OSX/CoinThief och det har distribuerats under fyra olika namn hittills inklusive BitVanity, StealthBit, Bitcoin Ticker TTM och Litecoin Ticker.
Bland alla dessa varianter av namn vet vi att de som motsvarar BitVanity och StealthBit distribuerades via Github-plattformen, medan Bitcoin Ticker TTM och Litecoin Ticker de gjorde detsamma via Download.com respektive MacUpdate.com.
Det roliga är att dessa namn valdes från legitima applikationer från Mac App Store med det enda uppenbara syftet att lura användaren, men det värsta är inte detta utan att när det körs i bakgrunden installerar det ett tillägg i webbläsaren, antingen Chrome, Safari eller Firefox.
Efter installationen ser vi något liknande Pop-up-blockerare 1.0.0 ″ men ingenting är längre ifrån sanningen, eftersom du helt enkelt kommer att kommunicera på distans med en server för att försöka samla åtkomstnycklarna så snart du går in på en Bitcoin-relaterad webbplats och lämnar den skadliga processen i bakgrunden permanent aktiv genom en uppgiftsstart.
För att bli av med det måste vi följa dessa enkla steg:
- Vi letar efter processen "com.google.softwareUpdateAgent" genom Aktivitetsövervakaren i mappen Verktyg.
- Kontrollera att vi har tillägget "Pop-up Blocker" i Safari, Chrome eller en annan webbläsare, med ovan nämnda process i Aktivitetsövervakaren, vi måste eliminera den.
- Vi kommer att använda kommandon i terminalen för detta, även om vi först måste ta bort BitVanity, StealhBit ... eller något program som har installerats och dra det till papperskorgen.
- Vi öppnar terminalen och anger detta kommando:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Detta kommer att stoppa den skadliga processen som springer bakom även om det kan vara fallet att den returnerar en "Ingen sådan fil eller katalog, ingenting hittades att ladda ner" så det skulle indikera att nämnda process inte körs även om det inte räcker för att kontrollera den. - Nästa steg är att flytta filen eller skadlig programvara till skrivbordet och senare ta bort den genom att dra den till papperskorgen med följande kommando:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Slutligen måste vi bara flytta till skrivbordet på samma sätt filen som anropar launchd som är bakgrundsprocessen som kommunicerar med fjärrservern:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Det återstår bara att eliminera något spår av förlängningen i Pop-Up Blocker-webbläsaren och vi skulle vara redo att bläddra "mer avslappnad".
Mer information - En trojan som kan stjäla Bitcoins från Mac-datorer visas