Якщо ви пам’ятаєте деякий час тому, ми розповідали про те, як у мережі з’явився новий троянський програмований на викрадення біткойнів на заражених комп'ютерах.
Зокрема, йдеться про троян OSX/CoinThief і до цього часу він розповсюджувався під чотирма різними назвами, включаючи BitVanity, StealthBit, Bitcoin Ticker TTM та Litecoin Ticker.
Серед усіх цих варіантів імен ми знаємо, що ті, що відповідають BitVanity та StealthBit, розповсюджувались через платформу Github, тоді як Bitcoin Ticker TTM і Litecoin Ticker вони зробили те саме через Download.com та MacUpdate.com відповідно.
Найцікавіше, що ці імена були вибрані із законних програм з магазину Mac App Store з єдиною очевидною метою обману користувача, однак найгірше не це, а те, що коли він працює у фоновому режимі, він встановлює розширення у браузері або Chrome, Safari або Firefox.
Після встановлення ми побачимо щось на зразок 'Блокувальник спливаючих вікон 1.0.0 ″ але нічого далі від істини немає, оскільки він просто буде віддалено спілкуватися з сервером, щоб спробувати зібрати ключі доступу, як тільки буде здійснено доступ до веб-сайту, пов’язаного з біткойнами, залишаючи шкідливий процес у фоновому режимі постійно активним через запущене завдання.
Щоб позбутися цього, нам доведеться виконати такі прості кроки:
- Ми будемо шукати процес "com.google.softwareUpdateAgent" через Монітор активності в папці Службові програми.
- Переконайтеся, що у нас є розширення "Блокувальник спливаючих вікон" у Safari, Chrome чи іншому браузері, і згаданий процес присутній у Activity Monitor, ми повинні його усунути.
- Для цього ми будемо використовувати команди в терміналі, хоча спочатку ми повинні видалити BitVanity, StealhBit ... або будь-яку інстальовану програму, перетягнувши її в смітник.
- Відкриваємо термінал і вводимо цю команду:
launchctlload ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist
Це зупинить зловмисний процес, який біжить позаду хоча може бути так, що він повертає "Немає такого файлу або каталогу, нічого не знайдено для вивантаження", тому це означатиме, що зазначений процес не запущений, хоча його недостатньо для перевірки. - Наступним кроком є переміщення самого файлу або шкідливого програмного забезпечення на робочий стіл, а згодом його видалення, перетягування в смітник за допомогою такої команди:
mv ~ / Library / Application Support / .com.google.softwareUpdateAgent ~ / Desktop / com.google.softwareUpdateAgent - Нарешті нам доведеться лише перейти на робочий стіл так само файл, який викликає launchd, що є фоновим процесом, який взаємодіє з віддаленим сервером:
mv ~ / Library / LaunchAgents / com.google.softwareUpdateAgent.plist ~ / Desktop / com.google.softwareUpdateAgent.plist
Залишається лише усунути будь-який слід продовження у браузері Pop-Up Blocker, і ми були б готові переглядати "більш спокійно".
Більше інформації - з’являється троян, здатний вкрасти біткойни з Mac