OS X Trojos žirgas aplankantis mėgstančius vogtas aplikacijas

Jei mėgstate praturtinti savo OS X aplikacijų sąrašą siųsdamiesi jas iš torrent’ų ar kitų „nulaužtas“ aplikacijas platinančių vietų, yra tikimybė, kad galite pasigauti neseniai aptiktą OS X Trojos žirgą pavadintą „OSX/CoinThief“.

Pasak kompiuterių saugumo kompanijos Eset atrasta nauja OS X Trojos žirgo veislė, kuri slapstosi „nulaužtose“ populiariose OS X aplikacijų versijose ir gali aplankyti jų mylėtojus. Apsigyvenęs OS X toks žirgelis bando praturtinti savo kūrėjų kišenes vogdamas iš voktų aplikacijų mėgėjų prisijungimo informaciją prie įveirių Bitkoin biržų ir piniginių (wallet).

Eset sako, kad arkliukėlis slapstosi populiariose aplikacijose (nulaužtose jų versijose) tokiose kaip BBEdit, Pixelmator, Angry Birds ir Delicious Library bei prisijungimo informacijos pasisavinimui naudoja kenkėjiškus naršyklių įskiepius („plug-ins“ ir „extensions“). Eset taip pat rašo, kad žirgelio pėdsakų rasta ir netikrose kriptovaliutos aplikacijose ir nors pagrindinis žirgo pasas yra torentų svetainės, tačiau „pasagėlių“ aptikta ir bitkoin aplikacijose platinamose per MacUpdate ir Cnet Download.com.

Atsižvelgiant į aukščiau parašytą informaciją Eset rekomenduoja nenaudoti piratinių aplikacijų versijų (įdomi rekomendacija) ir siųstis jas iš gamintojų, o ne alternatyvių svetainių.

Jei jūsų kompiuterio Gatekeeper nustatymai leidžia atsisiųsti aplikacijas tik iš Apple App Store, greičiausiai, nerimauti priežasčių nėra, nebent rankiniu būdu „susitariate“ su Gatekeeper, kai parsisiunčiate aplikaciją iš įtartinos vietos.

Jei esate mėgėjai pavagiliauti programėlių ir skaitant šias eilutes tapo nelabai ramu:

Žirgo apsigyvenimo kompiuteryje patikrinimas:

1. Atidarykite Activity Monitor aplikaciją ir joje paieškokite proceso „com.google.softwareUpdateAgent“

   „com.google.softwareUpdateAgent“ yra specifinis proceso pavadinimas - vienintelis žinomas šiuo metu, kaip naudojamas kenkėjiško kodo.

2. Atidarykite Chrome, Safari, ir Firefox naršykles (jei jos įdiegtos jūsų sistemoje) ir patikrinkite ar jose nėra įskiepio pavadinimu „Pop-Up Blocker“
3. Jei aptikote arba „com.google.softwareUpdateAgent“ procesą arba „Pop-Up Blocker“ įskiepį, keliaukite prie žirgo išgyvendinimo instrukcijų.

Žirgo išgyvendinimo instrukcijos

Tam kad rankiniu būdu išprašyti Trojos grynaveislį iš savo OS X rojaus sodo reikės įvesti kelias komandas OS X Terminal aplikacijoje.

1. Atidarykite OS X Terminal aplikaciją ir jos lange įveskite komandą, kuri iš sistemos pašalins nurodymą tikrinti, kad šis kodas būtų visada paleistas sistemoje:

   launchctl unload ~/Library/LaunchAgents/com.google.softwareUpdateAgent.plist

   ir paspauskite Enter ↲
2. Dabar reikės padaryti patį kenkėją matomu. Terminal’e įveskite komandą:

   mv ~/Library/Application Support/.com.google.softwareUpdateAgent ~/Desktop/com.google.softwareUpdateAgent

   ir paspauskite Enter ↲
   šios komandos pagalba mes perkeliame žirgą iš jo rezidencijos į darbastalį bei pašaliname prieš jo pavadinimą buvusį tašką, kuris jį darė nematomu.
3. Toliau ant darbastalio perkelkime ir failą inicijuojantį „launchd“ užduotį. Terminal’e įveskite:

   mv ~/Library/LaunchAgents/com.google.softwareUpdateAgent.plist ~/Desktop/com.google.softwareUpdateAgent.plist

4. Dabar ant jūsų darbastalio turėtų pūpsoti du failai „com.google.softwareUpdateAgent“ ir „com.google.softwareUpdateAgent.plist“. Pertempkite juos į šiukšlinę ir ištuštinkite ją.
5. Atidarykite naršykles ir pašalinkite iš jų „Pop-Up Blocker“ įskiepius.
6. Padarykite atsarginę bitkoin’ų wallet’o kopiją ir iš naujo įdiekite Bitcoin-Qt
7. Pakeiskite visų su bitkoin susijusių paskyrų slaptažodžius arba iš kompiuterio kuris yra „švarus“ arba iš savo kompiuterio po to kai pašalinote neprašytą svečią.