如果您还记得前一段时间,我们谈到了一种新的特洛伊木马程序,该程序被设计为在受感染的计算机上窃取比特币,并在网络上出现。
具体来说,木马程序是关于 OSX/CoinThief 到目前为止,它已经以四个不同的名称进行了分发,包括BitVanity,StealthBit,Bitcoin Ticker TTM和Litecoin Ticker。
在所有这些名称变体中,我们知道与BitVanity和StealthBit相对应的那些是通过Github平台分发的,而 比特币代码TTM和莱特币代码 他们分别通过Download.com和MacUpdate.com进行了相同的操作。
有趣的是,这些名称是从Mac App Store的合法应用程序中选择的,唯一明显的目的是欺骗用户,但是最糟糕的不是这个,而是当它在后台运行时会在浏览器中安装扩展程序,任何一个 Chrome,Safari或Firefox。
安装完成后,我们将看到类似 '弹出式窗口拦截器1.0.0'' 但事实并非如此,因为一旦访问与比特币相关的网站,它将与服务器进行远程通信以尝试收集访问密钥,从而使恶意进程始终处于后台状态,并通过启动任务而始终处于活动状态。
要摆脱它,我们将必须遵循以下简单步骤:
- 我们将通过“实用工具”文件夹中的“活动监视器”查找进程“ com.google.softwareUpdateAgent”。
- 检查在Safari,Chrome或其他浏览器中是否具有扩展名“ Pop-Up Blocker”,并且活动监视器中存在上述过程,因此必须消除它。
- 为此,我们将在终端中使用命令,尽管首先必须删除BitVanity,StealhBit ...或已安装的任何程序,然后将其拖到垃圾箱。
- 我们打开终端并输入以下命令:
launchctl卸载〜/库/ LaunchAgents / com.google.softwareUpdateAgent.plist
这将阻止恶意程序 在后面跑 尽管可能返回“没有这样的文件或目录,没有发现要卸载的内容”,所以这将表明该进程未运行,尽管不足以对其进行检查。 - 下一步是将文件或恶意软件本身移动到桌面,然后使用以下命令将其拖到垃圾箱中以将其删除:
mv〜/库/应用程序支持/ .com.google.softwareUpdateAgent〜/桌面/ com.google.softwareUpdateAgent - 最后,我们只需要 移至桌面 同样,调用launchd的文件是与远程服务器通信的后台进程:
mv〜/库/ LaunchAgents / com.google.softwareUpdateAgent.plist〜/桌面/ com.google.softwareUpdateAgent.plist
它仅需消除 扩展的任何痕迹 在“弹出窗口阻止程序”浏览器中,我们将准备“更加放松”地进行浏览。
更多信息-能够从Mac窃取比特币的木马出现