如果您還記得前一段時間,我們談到了一種新的特洛伊木馬程序,該程序被編程為從受感染的計算機中竊取比特幣,這是在網絡上出現的。
具體來說,木馬程序 OSX /投幣小偷 到目前為止,它已經以四個不同的名稱進行了分發,其中包括BitVanity,StealthBit,Bitcoin Ticker TTM和Litecoin Ticker。
在所有這些名稱變體中,我們知道與BitVanity和StealthBit相對應的那些是通過Github平台分發的,而 比特幣代碼TTM和萊特幣代碼 他們分別通過Download.com和MacUpdate.com進行了相同的操作。
有趣的是,這些名稱是從Mac App Store的合法應用程序中選擇的,唯一明顯的目的是欺騙用戶,但是最糟糕的不是這個,而是當它在後台運行時會在瀏覽器中安裝擴展程序,要么 Chrome,Safari或Firefox。
安裝完成後,我們將看到類似 '彈出式窗口攔截器1.0.0'' 但事實並非如此,因為一旦訪問與比特幣相關的網站,它將與服務器進行遠程通信以嘗試收集訪問碼,從而使惡意進程始終處於後台狀態,並通過啟動任務來永久激活。
要擺脫它,我們將必須遵循以下簡單步驟:
- 我們將通過“實用工具”文件夾中的“活動監視器”查找進程“ com.google.softwareUpdateAgent”。
- 檢查在Safari,Chrome或其他瀏覽器中是否具有擴展名“ Pop-Up Blocker”,並且活動監視器中存在上述過程,因此必須消除它。
- 為此,我們將在終端中使用命令,儘管在刪除BitVanity,StealhBit ...或已安裝的任何程序之前,請將其拖到垃圾箱。
- 我們打開終端並輸入以下命令:
launchctl卸載〜/庫/ LaunchAgents / com.google.softwareUpdateAgent.plist
這將阻止惡意程序 在後面跑 儘管可能返回“沒有這樣的文件或目錄,沒有發現要卸載的內容”,所以它表示該進程沒有運行,儘管沒有必要對其進行檢查。 - 下一步是將文件或惡意軟件本身移動到桌面,然後使用以下命令將其拖到垃圾箱中以將其刪除:
mv〜/庫/應用程序支持/ .com.google.softwareUpdateAgent〜/桌面/ com.google.softwareUpdateAgent - 最後,我們只需要 移至桌面 同樣,調用launchd的文件是與遠程服務器通信的後台進程:
mv〜/庫/ LaunchAgents / com.google.softwareUpdateAgent.plist〜/桌面/ com.google.softwareUpdateAgent.plist
它僅需消除 擴展的任何痕跡 在“彈出窗口阻止程序”瀏覽器中,我們將準備“更加放鬆”地進行瀏覽。
更多信息-能夠從Mac竊取比特幣的木馬出現