Bir süre önce hatırlarsanız, virüs bulaşmış bilgisayarlardan bitcoin çalmaya programlanmış yeni bir Truva atının ağda nasıl göründüğünden bahsetmiştik.
Truva atı, özellikle OSX / Madeni Para Hırsızı ve şu ana kadar BitVanity, StealthBit, Bitcoin Ticker TTM ve Litecoin Ticker dahil olmak üzere dört farklı isim altında dağıtıldı.
Tüm bu isim çeşitleri arasında, BitVanity ve StealthBit'e karşılık gelenlerin Github platformu üzerinden dağıtıldığını biliyoruz. Bitcoin Ticker TTM ve Litecoin Ticker aynısını sırasıyla Download.com ve MacUpdate.com üzerinden yaptılar.
İşin garibi, bu isimlerin Mac App Store'daki meşru uygulamalardan seçilmesi ve kullanıcıyı kandırmak için tek açık amaç olması, ancak en kötüsü bu değil, arka planda çalıştığında tarayıcıya bir uzantı yüklemesi, her ikisi de Chrome, Safari veya Firefox.
Kurulduktan sonra şöyle bir şey göreceğiz 'Pop-Up Engelleyici 1.0.0 ″ ancak hiçbir şey gerçeğin ötesinde değildir, çünkü Bitcoin ile ilgili bir web sitesine erişilir erişilmez erişim anahtarlarını toplamaya çalışmak için bir sunucuyla uzaktan iletişim kuracak ve kötü amaçlı süreci bir görev başlatması aracılığıyla arka planda kalıcı olarak etkin bırakacaktır.
Ondan kurtulmak için şu basit adımları izlememiz gerekecek:
- Yardımcı Programlar klasöründeki Etkinlik İzleyicisi aracılığıyla "com.google.softwareUpdateAgent" işlemini arayacağız.
- Safari, Chrome veya başka bir tarayıcıda "Pop-Up Engelleyici" uzantısına sahip olduğumuzu kontrol edin, yukarıda bahsedilen işlem Activity Monitor'de mevcutsa, onu ortadan kaldırmalıyız.
- Bunun için terminaldeki komutları kullanacağız, ancak önce BitVanity, StealhBit ... veya kurulu herhangi bir programı silmeli ve çöp kutusuna sürüklemeliyiz.
- Terminali açıyoruz ve şu komutu giriyoruz:
launchctl unload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Bu, kötü amaçlı süreci durduracaktır. arkasından koşuyor "Böyle bir dosya veya dizin yok, kaldırılacak hiçbir şey bulunamadı" şeklinde bir durum olsa da, kontrol etmek için yeterli olmamasına rağmen söz konusu işlemin çalışmadığını gösterir. - Sonraki adım, dosyayı veya kötü amaçlı yazılımın kendisini masaüstüne taşımak ve daha sonra aşağıdaki komutla çöp kutusuna sürükleyerek silmektir:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Sonunda sadece yapmamız gerekecek masaüstüne taşı aynı şekilde, uzak sunucuyla iletişim kuran arka plan işlemi olan launchd'yi çağıran dosya:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Sadece ortadan kaldırmak için kalır uzantının herhangi bir izi Pop-Up Engelleyici tarayıcısında ve 'daha rahat' göz atmaya hazır olurduk.
Daha fazla bilgi - Mac'lerden Bitcoin çalabilen bir Truva atı görünüyor