從 Mac 中刪除 Gmera Trojan Mac Virus 的 6 個修復

研究人員發現了“Gmera Trojan Mac”，這是一種針對使用 Apple Mac 的加密貨幣經銷商的木馬。惡意軟件通過模仿具有相似域和用戶界面的權威網站來欺騙粗心的用戶訪問這些網站來感染用戶。

據 ESET 稱，網絡安全公司 ESET 的研究人員發現了可以使用“瀏覽器 cookie、加密錢包和屏幕截圖”竊取數據的惡意軟件。

Mac 版 Gmera 木馬是什麼？它是如何工作的？

GMERA 是一種偽裝成 Stockfolio 的惡意軟件，Stockfolio 是 Apple Mac 用戶的合法交易工具。根據研究，該惡意軟件有兩種變體，其中一種已被識別為木馬。前者被稱為MacOS.GMERA.A，後者被稱為木馬。macOS.GMERA.B。

網絡犯罪分子經常使用 GMERA 竊取數據並將其上傳到他們控制的網站。盡快刪除 GMERA 以避免這種感染造成的任何損害。

類型

MacOS變種MERA.A

Gmer Mac 特洛伊木馬是一個虛構角色。macOS.MERA。示例中收集了用戶信息，例如用戶名、IP 地址、Applications 文件夾中的應用程序以及 /Documents 和 /Desktop 目錄中的文件。

• 它還捕獲操作系統安裝日期、圖形並顯示信息、無線信息和屏幕截圖。
• 它將信息發送到網絡犯罪分子運行的服務器。
• 被盜數據/詳細信息可能包含用於以各種方式賺錢的敏感信息。
• 獲取個人信息可能會導致隱私洩露、身份盜竊、經濟損失和其他問題。

木馬MacOS變種B

Trojan.MacOS.GMERA.B（Gmera 木馬 Mac）變種會收集受害者的用戶名和 IP 地址等信息以及許多其他文件。

• 其中一個充當“持久性機制”，允許 GMERA 即使在系統重新啟動、重新引導、註銷等之後也能繼續運行。
• 一旦啟動，像 GMERA 這樣的軟件就會隱藏在實際的 Stockfolio 交易應用程序後面並在後台運行。
• 立即採取行動消除感染。

在職的

Gmera 木馬Mac運營商模仿合法網站傳播惡意軟件。這些網站驚人地相同，並且對於未經訓練的人來說似乎是真實的。

儘管研究人員不知道惡意軟件在哪里傳播，但 Kattana 警告用戶，惡意冒充服務會誘使他們下載該木馬。

然而，研究人員無法將該活動與 GMERA 惡意軟件聯繫起來。研究人員稱，感染也是通過木馬傳播的。

症狀

特洛伊木馬旨在滲透到受害者的計算機中，並且在不被注意的情況下進行，因此受感染的計算機上沒有明顯的跡象。受感染的電子郵件附件、欺詐性網絡營銷、社會工程和軟件黑客都是合法 Stockfolio 應用程序的惡意變體。

傳染源

在最新的攻擊中，人們發現 GMERA 病毒的開發者使用了真實比特幣交易應用程序 Kattana 的惡意版本。

• GMERA 惡意軟件的創建者將當前的 Kattana 變成了惡意軟件。
• 他們還為 Apple Mac 用戶開發了加密貨幣交易惡意軟件的網頁。
• 最有可能的是，運營商親自聯繫了目標受害者並說服他們安裝惡意軟件。
• 使用反向 shell 竊取瀏覽器 cookie、瀏覽歷史記錄和加密貨幣錢包密碼。

刪除 Gmera Mac 木馬的步驟

1.刪除與Gmera Mac木馬相關的文件和文件夾

• 單擊菜單欄中的 Finder 圖標。選擇“前往”，然後選擇“前往文件夾…”。
• 在 /Library/LaunchAgents 文件夾中查找由惡意軟件創建的可疑和不受信任的文件。

• 在“啟動代理”文件夾中查找所有最近下載的文件，並將它們移至“廢紙簍”文件夾中。

• “myppes.download.plist”、“mykotlerino.Itvbit.plist”、“installmac.AppRemoval.plist”、“kuklorest.update.plist”等是瀏覽器劫持者或廣告軟件創建的文件的一些示例。
• 檢測並刪除“/Library/Application”支持文件夾中的廣告軟件文件。
• 在“轉到文件夾…”面板中輸入“/Library/Application Support”。
• 在應用程序支持文件夾中查找最近添加的任何可疑目錄。
• 如果您找到其中任何一個，例如“NicePlayer”或“MPlayerX”，請將它們移至“廢紙簍”文件夾。
• 在 /Library/LaunchAgent 文件夾中查找由惡意軟件創建的文件。
• 如果您發現任何可疑文件，您應該找到它們並將其移至“垃圾箱”文件夾。
• 在 /Library/LaunchDaemons 文件夾中查找由惡意軟件創建的文件。
• 在“瀏覽到文件夾”字段中，輸入 /Library/LaunchDaemons。
• 在新打開的“LaunchDaemons”文件夾中搜索最近添加的任何可疑文件，並將它們移動到“垃圾箱”文件夾中。

2. 從互聯網瀏覽器中刪除 Gmera

從 Safari 中刪除可疑和惡意擴展。

• 從“菜單欄”打開“Safari”瀏覽器。從下拉菜單中選擇“Safari”，然後選擇“設置”。
• 在打開的設置窗口中選擇您最近安裝的“擴展”。
• 所有這些擴展都應該被識別，您應該單擊它們旁邊的“卸載”按鈕來刪除它們。如果您仍然不確定，可以從 Safari 瀏覽器中刪除所有擴展程序，因為瀏覽器正常工作不需要這些擴展程序。
• 如果您繼續收到不需要的網頁重定向或侵入性廣告，您可以重置 Safari 瀏覽器設置。

重置 Safari

• 從 Safari 菜單中選擇“首選項” 。
• 在“擴展”選項卡上將擴展設置為“關閉”。由於此設置，Safari 中安裝的擴展將被禁用。
• 從“設置”菜單中選擇“常規”選項卡。將默認主頁替換為您所需的 URL。
• 檢查搜索引擎的默認提供商設置。在“設置”字段中選擇“搜索”選項卡，然後選擇所需的搜索引擎，例如“Google”。

清除 Safari 瀏覽器中的緩存

• 在“設置”框中選擇“高級”選項卡和“在菜單欄中顯示開髮菜單”。
• 從“開發”菜單中選擇“清除緩存”。
• 清除您的瀏覽歷史記錄和網站數據。從“Safari”菜單中選擇“清除歷史記錄和網站數據”。
• 之後選擇“所有歷史記錄”，然後選擇“清除歷史記錄”。

Mozilla Firefox：刪除不需要的惡意插件

• 必須從 Mozilla Firefox 中刪除 Gmera 附加組件。
• 啟動 Mozilla Firefox 網絡瀏覽器。在屏幕右上角，單擊“打開菜單”按鈕。
• 從打開的菜單中選擇附加組件。
• 從下拉菜單中選擇“擴展”以查看所有最近安裝的附加組件的列表。
• 選擇所有有問題的附加組件，然後單擊它們旁邊的“卸載”按鈕將其刪除。

重置 Mozilla Firefox 偏好設置

如果您想“重新加載” Mozilla Firefox瀏覽器，請按照以下說明操作。

• 打開 Firefox Mozilla 瀏覽器，然後轉到屏幕左上角的“Firefox”按鈕。
• 從新菜單的“幫助”子菜單中選擇“故障排除信息”。
• 單擊“故障排除信息”屏幕上的“重置 Firefox”按鈕。
• 通過選擇“重置 Firefox”選項，您確認要將 Mozilla Firefox 設置重置為出廠默認設置。瀏覽器將重新啟動，設置將重置為出廠設置。

Google Chrome：刪除不需要的惡意擴展

• 打開Chrome瀏覽器並從下拉菜單中選擇“Chrome 菜單”。從菜單中選擇“更多工具”，然後選擇“擴展”。
• 在“擴展”選項卡下查找所有最近安裝的附加組件和擴展。
• 從下拉菜單中選擇“購物車”。任何第三方插件對於瀏覽器的順利運行都不是必需的。

重置谷歌瀏覽器

• 打開瀏覽器，轉到窗口右上角，然後單擊三行欄。
• 在打開的窗口底部選擇“顯示高級設置”。
• 滾動到剛剛創建的窗口底部，然後選擇重置瀏覽器設置。
• 在打開的“重置瀏覽器設置”窗口中，單擊“重置”按鈕。

3.刪除或刪除受感染的文件

該特洛伊木馬是通過您從不受信任的來源下載的文件或安裝的應用程序或擴展程序傳播的。簡單的刪除完全有可能解決問題，但考慮到殺死惡意軟件的難度，情況遠非如此。

在 Mac 上使用 LaunchPad

• 可以通過在 Dock 中單擊或從“應用程序”文件夾中打開啟動板來打開它。
• 您還可以用拇指和三個手指捏住觸控板。
• 如果應用程序未記錄在 Launchpad 中，請在搜索欄中輸入其名稱。用兩根手指在觸控板上向右或向左滑動可打開下一頁或上一頁。
• 按住任何應用程序，直到它在按住 Option 鍵的同時開始擺動。
• 在要卸載的應用程序旁邊，單擊“卸載”按鈕，然後單擊“卸載”進行確認。
• 該軟件立即被刪除。未顯示的應用程序不是從 App Store 下載的，或者是您的 Mac 所需的。
• 要刪除不是從 App Store 獲取的應用程序，請使用 Finder 而不是 App Store。

要刪除應用程序，請使用 Finder。

• 在 Finder 中找到該應用程序。大部分應用程序駐留在“應用程序”文件夾中，可以通過從任何 Finder 窗口的側邊欄中選擇“應用程序”來訪問該文件夾。
• 您還可以使用 Spotlight 搜索軟件。按住 Command () 鍵並在 Spotlight 中雙擊它。
• 選擇一個應用程序，然後使用“文件”>“移至廢紙簍”將其拖至廢紙簍。
• 回收站出現在 macOS Dock 中。
• 如果需要用戶名和密碼，請使用 Mac 上的管理員帳戶名和密碼。這很可能是您用於登錄 Mac 的用戶名和密碼。
• 要刪除該軟件，請轉至 Finder > 清空垃圾箱。

4. 下載時間機器備份

嘗試找出您的 Mac 是否存在特洛伊木馬，然後手動將其刪除可能是一項艱鉅的任務。在安裝受感染的文件之前簡單地恢復 Time Machine 備份可能會更容易。

• 要從 Time Machine 備份恢復您的 Mac，請按照以下步驟操作：
• 從菜單欄中選擇“時間機器”圖標。
• 輸入“時間機器”選項。
• 將出現一堆 Finder 窗口，每個窗口代表一個不同的備份。
• 選擇要恢復的內容後單擊“恢復”按鈕。

5.使用防病毒軟件

每當您懷疑您的 Mac 感染了惡意軟件時，您都應該運行病毒掃描。這包括您懷疑自己感染了特洛伊木馬。防病毒軟件檢查文件中是否存在危險代碼。

尋找瀏覽器插件。

掃描您的計算機是否存在瀏覽器劫持者和廣告附加信息：

• 從菜單欄中選擇 Safari > 偏好設置。檢查現有主頁 URL 並進行任何必要的更改。
• 然後轉到“擴展”選項卡並刪除任何您不熟悉的內容，因為它們可以監視您，保存您的個人信息並將您重定向到惡意網站。

從您的設備中刪除所有有問題的應用程序。

• 檢查是否安裝了不熟悉的軟件：
• 通過選擇“前往”>“應用程序”或按 Shift + Command + A 導航到 Finder 中的“應用程序”文件夾。
• 通過滾動列表從列表中刪除所有無法識別的應用程序。
• 然後清空垃圾箱。

從系統中刪除所有有問題的登錄項。

• 作為“Mac 惡意軟件刪除”目標的一部分，刪除任何行為怪異的登錄項。
• 其中一些您可能不熟悉，或者您可能不記得打開過它們。
• 要防止某些項目在啟動時運行，請按照下列步驟操作： 取消選中 Apple 菜單 > 系統偏好設置 > 用戶和組 > 登錄項目中的選項。

在 Apple macOS 上，創建一個新的配置文件。

如果 Mac 病毒的目標是用戶而不是設備，您可以通過在 macOS 中創建新的配置文件來解決這種情況。要創建新的用戶配置文件，請執行以下步驟：

• 從 Apple 菜單轉至系統偏好設置 > 用戶和組。
• 要進行更改，請解鎖頁面。
• 單擊 + 按鈕選擇要添加的人員類型（管理員或標準）。
• 輸入新的用戶名和密碼並單擊“創建用戶”來創建新用戶。

6. 將 Mac 恢復出廠設置

這是最後的手段，但如果沒有其他方法可以幫助您從 Mac 中刪除木馬，您還可以執行恢復出廠設置。這會將您的 Mac 重置為出廠設置，刪除其中的所有內容，包括所有數據，因此請提前做好備份。您需要進入恢復模式才能開始。

以下是在 M1 Mac 上進入恢復模式的方法：

• 關閉你的 Mac。

• 現在按住電源按鈕幾秒鐘。
• 按住按鈕，直到看到正在加載啟動選項。
• 按 Enter 鍵繼續。
• 出現提示時輸入管理員密碼。
• 現在轉到“磁盤工具”並查找“擦除”選項以從 Mac 中刪除所有文件。

結論

Gmera 也稱為 Kassi 特洛伊木馬，這是一種危險的計算機感染，偽裝成 Stockfolio，這是 Mac 用戶真正有用的交易工具。要刪除“Gmera Trojan Mac”並清除計算機中的惡意軟件，請使用上述所有步驟。

常問問題

特洛伊木馬會影響 Mac 嗎？

如果您的 Mac 感染了特洛伊木馬，該程序可以執行各種操作，從安裝其他病毒或間諜軟件到讓黑客完全遠程控制您的系統。特洛伊木馬對於您和您的機器來說都是可怕的消息。

如何知道你的Mac是否中了木馬病毒？

您的 Mac 開始表現異常並執行您意想不到的事情。您的 Mac 開始運行緩慢，就好像有什麼東西正在使用所有 CPU 資源。廣告開始出現在您的電腦上。

如何隱藏惡意軟件？

惡意軟件可以使用多態性、加密和進程內執行來保持高級持續威脅 (APT)。每次播放多態代碼時，它都會發生變化。通過更改每個新設備上的加密/解密密鑰，加密可以隱藏這些活動並使其可見。

什麼是木馬？是病毒還是惡意軟件？

特洛伊木馬是一種惡意軟件，它偽裝成真實的程序並下載到計算機上。攻擊者經常使用社會工程將惡意代碼注入到真正的應用程序中，以便使用他們的程序訪問系統。