Dieser Beitrag erklärt, wie der Hijacker 'Safe Finder' auf dem Mac abläuft und bietet umfassende Anleitungen zur Entfernung des Virus search.safefinder.com.
Aktualisieren: April 2024
Infektionen wie der Safe Finder zerschlagen das Klischee des malwarefreien Macs. Tatsache ist, Browser-Hijacker und Bedrohungen durch Werbeeinblendungen stellen die bei weitem vorherrschende Kategorie von Software dar, die dieses Betriebssystem angreift. Die Auswirkungen solcher Angriffe gehen über das reine Surfen im Internet normalerweise nicht hinaus, aber der begrenzte Umfang der negativen Einflüsse macht diese Vorfälle nicht weniger abscheulich als andere, weitergehende Verstöße. Die oben erwähnte App leitet die Safari-, Chrome- und Firefox-Einstellungen des Opfers auf search.safefinder.com oder search.macsafefinder.com um. Zu den weniger häufig besuchten Junk-Sites aus demselben Pool gehören search.safefinder.biz, search.safefinder.info und search.safefinderformac.com. Das bedeutet, dass anstelle der benutzerdefinierten Startseite, der bevorzugten Suchmaschine und der neuen Registerkarte die unerwünschte Seite angezeigt wird. Außerdem kann der gleiche Effekt auftreten, wenn der Benutzer einfach die URL einer beliebigen Webseite in die Adressleiste eingibt. Dies deutet darauf hin, dass der Hijacker auch die DNS-Einstellungen auf infizierten Rechnern mit MacOS verfälscht.
Offiziell wird der Safe Finder als "das perfekte Werkzeug zur Vereinfachung des Web" beworben. Er soll ein nicht-intrusives Widget hinzufügen, das Symbole für eine Reihe nützlicher Funktionen enthält, darunter die Übersetzung der Webseite in eine Sprache nach Wahl, die schnelle Weitergabe in beliebten sozialen Netzwerken und Sicherheitsbewertungen von Webseiten, die der Benutzer gerade besucht. Diese wohlwollenden und lobenswerten Erklärungen werden jedoch null und nichtig, da die Anwendung anstelle dessen dazu führt, dass die Webbrowser völlig außer Kontrolle geraten. Das Opfer wird es letztendlich schwer haben, eine andere Webseite als search.safefinder.com oder search.macsafefinder.com zu besuchen. Die Autorisierung, Änderungen an den Browsereinstellungen auf einem verseuchten Mac vorzunehmen, ist der Meilenstein, den Adware-Erzeuger normalerweise überspringen, so dass die Folgen dieses Vergehens für die Zielbenutzer normalerweise eine Überraschung sind.
Im Februar 2020 begann die Kampagne mit dem Safe Finder mit Veränderungen, die eine weitere berühmt-berüchtigte Technik in den Mix einbringen. Die Opfer finden sich in einem Dilemma der Fehlkonfiguration des Browsers gefangen, dessen Kernstück Akamaihd.net ist. Der eingedrungene Code kann den Standardanbieter für die Websuche durch eine URL ersetzen, deren Struktur dem folgenden Muster entspricht: search8952443-a.akamaihd.net. Das dem Bindestrich vorangestellte Fragment variiert und kann etwas wie "default[zufällige Ziffern]" oder "lkysearchds[zufällige Ziffern]" sein. Diese raffinierte Änderung, die einen Cloud-Dienst und den Inhaltslieferanten Akamai mit einschließt, soll offenbar die Adware-Aktivität über Wasser halten und der schurkischen Infrastruktur helfen, alle Formen von schwarzen Listen zu überleben.
Wenn das Opfer Suchwörter in das Suchfeld des fragwürdigen Dienstes eingibt, werden sie an die Yahoo-Suche weitergeleitet. Die Beteiligung von legalen Anbietern ist ein übliches Vorgehen für Verkehrs-Umverteilungssysteme im Mac-Malware-Ökosystem. Auf diese Weise lassen die Betrüger den Angriff als eine nicht bösartige Veränderung der eigenen Web-Surf-Aktivitäten erscheinen. Außerdem ist das Ziel hinter der Einbindung von Yahoo in diese elektronische Strategie, eine Illusion zu erzeugen, als ob die Safe Finder Landeseite einige echte Web-Suchfunktionen hätte. Tatsächlich bietet sie jedoch keine solche Funktionalität. Übrigens handelt es sich bei dem fraglichen Dienst, der untersucht wird, auch um eine seit langem bestehende generische Einheit, die andere Browser-Hijacker wie den Any Search Manager hervorgebracht hat.
Die Art und Weise, wie Safe Finder seinen Weg in einen Mac findet, ist eine ganz andere Geschichte. Anstatt seine "einzigartigen" Funktionen zu studieren und ihn bewusst zu installieren, lässt man ihn buchstäblich an sich vorbei schleichen. Die Nutzlast der Anwendung begleitet andere Software wie Advanced Mac Cleaner, aber es ist normalerweise eben ein geheimer Schleich-Vorgang, der es den Benutzern schwer macht, die Bedrohung zu erkennen und zu verhindern und so gelangt sie in den Mac. Was den unbefugten Zugriff verschleiert, ist ein Installations-Client, der unter dem Deckmantel eines harmlosen Dienstprogramms mehrere Anwendungen bewirbt. Der Haken ist, dass solche Installer-Programme behaupten, die Einrichtung beliebter Freeware zu erleichtern, was viele Anwender dazu veranlassen könnte, offensichtlichen Fallstricken keine Beachtung zu schenken. Die einzige Möglichkeit, den Angriff zu verhindern, besteht darin, die zusätzlichen Elemente, die die Hauptanwendung begleiten, abzuwählen, aber es geht darum, den Weg der benutzerdefinierten Einrichtung zu gehen, anstatt bei der Standardoption (Express) zu verbleiben.
Die gefälschte Adobe Flash Player-Update Kampagne ist eine der altbewährten Hochburgen der Safe Finder Distribution. Dieser Angriffsvektor hat seit März 2020 einen beträchtlichen Anstieg erlebt. Möglicherweise ist der Zuwachs auf Adobes offiziell bestätigte Pläne zurückzuführen, die Unterstützung von Adobe Flash noch in diesem Jahr zu beenden. Dennoch sind die Adware-Autoren damit beschäftigt, das Maximum aus ihrem leicht zugänglichen Online-Schwindel rund um dieses umstrittene Produkt herauszuholen. Das Schema ist trivial: Der irreführende Updater, der auf kompromittierten oder böswilligen Webseiten angepriesen wird, enthält die Safe Finder-Nutzlast im selben Paket.
Die Safe Finder Überfall kann auch doppelten Ärger bedeuten, da der Mac gleichzeitig mit einer Werbung einbringende Anwendung wie SystemNotes 1.0 verseucht ist. Die gemeinsam beworbene Werbesoftware repräsentiert eine immer zahlreichere Reihe von potentiell unerwünschten Anwendungen (PUAs), die ein leicht zu identifizierendes Markenzeichen teilen - das grüne Symbol mit einer Lupe im Inneren. Dieser scheinbar unbedeutende Parasit kann dem Opfer wirklich das Leben schwer machen, indem er eine Menge gesponserter Informationen auf Webseiten anzeigt. Die Symbiose aus "klassischem" Browser-Hijacker und Adware bedeutet, dass den Cyberkriminellen hinter dieser Welle eine mehrgleisige Monetarisierung von Angriffen nicht fremd ist.
Angesichts der heimlichen Infiltrationstechnik müssen sich Leute meist mit den Folgen des Angriffs auseinandersetzen, was eine ziemlich große Herausforderung darstellt. Der folgende Teil beschäftigt sich mit den notwendigen Schritten, um diesen Virus vom Mac zu eliminieren und die veränderte Browsing-Konfiguration wieder zu korrigieren.
Safe Finder Virus manuelle Entfernung für Mac
Die unten stehenden Schritte führen Sie durch die Entfernung dieser potenziell unerwünschten Anwendung. Befolgen Sie die Anleitungen in der angegebenen Reihenfolge.
- Öffnen Sie den Ordner Dienstprogramme (Utilities) wie unten gezeigt
- Suchen Sie das Aktivitätsanzeige-Symbol (Activity Monitor) auf dem Bildschirm und doppelklicken Sie darauf
- Suchen Sie unter Aktivitätsanzeige (Activity Monitor) den Eintrag für Safe Finder, wählen Sie ihn aus und klicken Sie auf Prozess beenden (Quit Process)
- Es sollte ein Dialog erscheinen, in dem Sie gefragt werden, ob Sie sicher sind, dass Sie den Störungsprozess beenden möchten Wählen Sie die Option Beenden Erzwingen (Force Quit).
- Klicken Sie erneut auf die Schaltfläche Gehe zu (Go), wählen Sie jedoch diesmal Programme (Applications) in der Liste aus.
- Suchen Sie den Eintrag für Safe Finder auf der Benutzeroberfläche, klicken Sie mit der rechten Maustaste darauf und wählen Sie In den Papierkorb legen (Move to Trash). Wenn das Benutzerpasswort erforderlich ist, geben Sie es ein.
- Gehen Sie jetzt zum Apple-Menü und wählen Sie die Systemeinstellungen.
- Wählen Sie Benutzer und klicken Sie auf die Schaltfläche Anmeldeobjekte (Login Items). Das System wird die Liste der Artikel anzeigen, die beim Start der Box gestartet werden. Suchen Sie dort SmartSignalSearch und klicken Sie auf den "-" Knopf.
Entfernen des Safe Finder im Web Browser auf dem Mac los
Zunächst sollten die vom Safe Finder redirect-Virus übernommenen Webbrowser-Einstellungen auf ihre Standardwerte zurückgesetzt werden. Dadurch werden zwar die meisten Ihrer Anpassungen, der Verlauf Ihres Web-Surfens und sämtliche temporären Daten, die von Webseiten gespeichert wurden, gelöscht, aber die schädlichen Beeinträchtigungen sollten ebenfalls beendet werden. Die Übersicht über die Schritte, wie dieses Verfahrens durchgeführt wird, ist wie folgt:
- Entfernen Sie den Safe Finder Virus vom Safari
- Öffnen Sie den Browser und gehen Sie zum Safari menü. Wählen Sie in der Dropdown-Liste Einstellungen.
- Wenn der Dialog Einstellungen erscheint, klicken Sie auf die Registerkarte Erweitert und aktivieren Sie die Option "Menü “Entwickler” in der Menüleiste anzeigen".
- Jetzt, wo der Eintrag Entwickler zum Menü Safari hinzugefügt worden ist, erweitern Sie ihn und klicken Sie auf Cache-Speicher leeren.
- Wählen Sie jetzt Verlauf im Menü Safari und klicken Sie in der Dropdown-Liste auf Verlauf löschen.
- Safari zeigt einen Dialog an, in dem Sie gebeten werden, den Zeitraum anzugeben, für den diese Aktion gelten soll. Wählen Sie gesamten Verlauf, um einen maximalen Effekt sicherzustellen. Klicken Sie auf die Schaltfläche Verlauf löschen, um die Aktion zu bestätigen und zu beenden.
- Gehen Sie zurück zu den Safari-Einstellungen und klicken Sie oben auf die Registerkarte Datenschutz. Suchen Sie die Option Websitedaten verwalten und klicken Sie darauf.
- Der Browser zeigt einen Folgebildschirm an, in dem die Webseiten aufgelistet sind, die Daten über Ihre Internetaktivitäten gespeichert haben. Dieser Dialog enthält zusätzlich eine kurze Beschreibung, was das Löschen bewirkt: Sie werden möglicherweise von einigen Diensten abgemeldet und stoßen nach dem Vorgang auf andere Änderungen des Website-Verhaltens. Wenn Sie damit einverstanden sind, klicken Sie auf die Schaltfläche Alle entfernen.
- Starten Sie Safari neu
- Öffnen Sie den Browser und gehen Sie zum Safari menü. Wählen Sie in der Dropdown-Liste Einstellungen.
- Entfernen des Safe Finder von Google Chrome
- Öffnen Sie Chrome, klicken Sie im oberen rechten Teil des Fensters auf das Symbol Google Chrome anpassen und einstellen (⁝) und wählen Sie Einstellungen in der Dropdown-Liste.
- Wenn Sie sich im Bereich Einstellungen befinden, wählen Sie Erweitert.
- Scrollen Sie nach unten zum Abschnitt Einstellungen zurücksetzen.
- Bestätigen Sie das Zurücksetzen von Chrome in einem Dialogfeld, das erscheinen wird. Wenn der Vorgang abgeschlossen ist, starten Sie den Browser neu und überprüfen Sie ihn auf Malware-Aktivität.
- Öffnen Sie Chrome, klicken Sie im oberen rechten Teil des Fensters auf das Symbol Google Chrome anpassen und einstellen (⁝) und wählen Sie Einstellungen in der Dropdown-Liste.
- Entfernen des Safe Finder vom Mozilla Firefox
- Öffnen Sie Firefox und gehen Sie zu Hilfe - Informationen zur Fehlerbehebung (oder tippen Sie about:support in die URL-Leiste ein und drücken Sie die Eingabetaste).
- Wenn Sie sich auf dem Bildschirm Informationen zur Fehlerbehebung befinden, klicken Sie auf die Schaltfläche Firefox bereinigen.
- Bestätigen Sie die beabsichtigten Änderungen und starten Sie Firefox neu.
- Öffnen Sie Firefox und gehen Sie zu Hilfe - Informationen zur Fehlerbehebung (oder tippen Sie about:support in die URL-Leiste ein und drücken Sie die Eingabetaste).
Verwenden Sie das automatische Tool, um den Safe Finder Virus von Ihrem Mac zu deinstallieren
Die Wartungs- und Sicherheitsanwendung für den Mac namens Combo Cleaner ist ein One-Stop-Tool zur Erkennung und Entfernung des Safe Finder Virus. Diese Technik hat wesentliche Vorteile gegenüber der manuellen Bereinigung, da das Programm stündlich Updates der Virendefinitionen erhält und selbst die neuesten Mac-Infektionen genau erkennen kann.
Außerdem wird die automatische Lösung die Kerndateien der Malware tief in der Systemstruktur, deren Lokalisierung sonst eine Herausforderung darstellen könnte, finden. Hier ist ein Lösungsweg, um das Safe Finder Problem mit Combo Cleaner zu lösen:
- Laden Sie das Installationsprogramm von Combo Cleaner herunter. Nachdem Sie das gemacht haben, doppelklicken Sie auf die Datei combocleaner.dmg und folgen Sie den Anweisungen zur Installation des Tools auf Ihren Mac.
Durch das Herunterladen von Anwendungen, die auf dieser Webseite empfohlen werden, erklären Sie sich mit unseren Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinie. Der gratis Scanner prüft, ob Ihr Mac infiziert ist. Um die Malware loszuwerden, müssen Sie die Premium-Version von Combo Cleaner erwerben.
- Öffnen Sie die Anwendung von Ihrem Launchpad aus und lassen Sie sie die Datenbank mit den Malware-Signaturen aktualisieren, um sicherzustellen, dass sie die neuesten Bedrohungen erkennen kann.
- Klicken Sie auf die Schaltfläche Combo Scan starten, um Ihren Mac auf böswillige Aktivitäten sowie auf Leistungsprobleme zu überprüfen.
- Untersuchen Sie die Scan-Ergebnisse. Wenn der Bericht "Keine Bedrohungen" besagt, sind Sie mit der manuellen Bereinigung auf dem richtigen Weg und können den Web-Browser, der aufgrund der Nachwirkungen des Malware-Angriffs möglicherweise weiterhin untätig bleibt, sicher aufräumen (siehe Anweisungen oben).
- Falls Combo Cleaner bösartigen Code entdeckt hat, klicken Sie auf die Schaltfläche Ausgewählte Objekte entfernen und lassen Sie das Dienstprogramm die Safe Finder Bedrohung zusammen mit anderen Viren, PUPs (potenziell unerwünschten Programmen) oder Junk-Dateien, die nicht auf Ihren Mac gehören, entfernen.
- Wenn Sie sich doppelt vergewissert haben, dass die bösartige Anwendung deinstalliert ist, könnte die Fehlerbehebung auf Browserebene immer noch auf Ihrer Aufgaben-Liste stehen. Wenn Ihr bevorzugter Browser betroffen ist, greifen Sie auf den vorherigen Abschnitt dieses Tutorials zurück, um zum stressfreien Surfen im Internet zurückzukehren.
FAQ
Die Kategorisierung enthält viele Schattierungen, aber SafeFinder ist definitiv keine gutartige Anwendung. Auf den ersten Blick scheint es eine Kombination von scheinbar nützlichen Funktionen zu bieten, wie z.B. die Freigabe von Inhalten mit einem Klick, die Übersetzung von Inhalten und die Warnung vor schädlichen Webseiten. Bei genauerem Hinsehen stellt sich jedoch heraus, dass dies nur die Spitze des Eisbergs ist.
Die Kehrseite der Installation von SafeFinder ist, dass Ihr Web-Browsing ohne Ihre Zustimmung einer Überholung unterzogen wird. Die App ersetzt Ihre Webpräferenzen durch eine Seite, die von den Malware-Betreibern kontrolliert wird, wie z.B. search.safefinder.com oder search.macsafefinder.com. Die daraus resultierende Seite ist suchtechnisch praktisch wertlos, da sämtliche Anfragen einfach an Yahoo weitergeleitet werden.
Wenn die Infektion auf einem Mac ausgeführt wird, sammelt die Infektion auch die Surf-Details des Opfers, darunter der Internetverlauf und die Suchbegriffe. Diese Information kann hinter dem Rücken des Anwenders an skrupellose Werbekunden und andere Dritte weitergegeben werden. Zu allem Überfluss wird SafeFinder auf eine unethische Art und Weise verbreitet, die nichts mit einer eigenen informierten Entscheidung zu tun hat.
Hier ist das Urteil: SafeFinder ist zweifelsohne bösartig. Einige Forscher bezeichnen ihn als Virus, während andere eine etwas andere Klassifizierung bevorzugen, wie z.B. PUP (potenziell unerwünschtes Programm) oder Adware. Auf die eine oder andere Weise sollte diese zwielichtige App auf jeden Fall vermieden werden.
Das liegt daran, dass ein Stamm von Malware Ihren Mac infiziert hat. Die unerwünschte Anwendung wurde entwickelt, um die Browsereinstellungen in einem System zu ändern, auf dem sie läuft, einschließlich der Standardsuchmaschine. Diese Änderungen sind ohne die Zustimmung der Benutzer bewirkt worden, was erklärt, warum die Opfer keine Ahnung haben, warum alle ihre Suchanfragen an search.safefinder.com oder andere angeschlossene Replikate weitergeleitet werden. In einigen Fällen mischt sich der Virus in seine Favoriten (Lesezeichen) ein, indem er die abtrünnige URL-Zeichenfolge am Ende der benutzerdefinierten Werte anhängt. Dies fügt dem Browser-Hijack eine zusätzliche persistente Ebene hinzu.
Beginnen Sie den Entfernungsprozess, indem Sie unter Systemeinstellungen in Ihrem Ordner Programme und Anmeldeobjekte nach dem fehlerhaften Element suchen. Sämtliche Einträge mit 'Safe Finder' in ihrem Namen (die Schreibweise kann variieren) müssen gelöscht werden. Wenn Sie die schädliche Anwendung aufgrund eines Fehlers nicht in den Papierkorb schicken können, öffnen Sie den Aktivitätsmonitor und erzwingen Sie zuerst das Beenden des fragwürdigen Prozesses. Stellen Sie sicher, dass Sie den Papierkorb leeren, sobald Sie den Täter erfolgreich entfernt haben.
Sie haben mehr als die Hälfte der Strecke geschafft. Der nächste Schritt besteht darin, den betroffenen Webbrowser wieder zu reparieren und die unangenehmen Umleitungen auszuschalten. Gehen Sie dazu in die Einstellungen Ihres Browsers und löschen Sie die Safe Finder Erweiterung. Wenn dies nicht ausreicht, setzen Sie Ihren Browser auf seine ursprünglichen Standardeinstellungen zurück und definieren Sie dann Ihre korrekten benutzerdefinierten Einstellungen.
Zunächst einmal ergibt es Sinn, es wie folgt umzuformulieren: Wie entferne ich den Safe Finder Virus, der alle meine Suchen zu Yahoo umleitet? Wie bereits erwähnt, erzwingt die bösartige Anwendung Treffer auf ihre Lande-Seite, die von der Yahoo-Suche unterstützt wird. Diese Tatsache weist lediglich darauf hin, dass der fragliche zwielichtige Dienst keine eigene Suchkapazität zur Verfügung stellt. Stattdessen zeigt er Anzeigen an und verteilt den Webverkehr, den er auf hinterhältige Weise erhalten hat, neu.
Letztendlich müssen Sie sich mit dem Thema Safe Finder befassen, damit Ihre Suchen nicht mehr bei Yahoo landen. Lesen Sie die obige Anleitung, um eine Vorstellung davon zu bekommen, wie Sie alle Komponenten der Infektion auf Ihrem Mac finden und entfernen können.