Skip to main content

Hoe kan ik het virus SearchBaron van Mac verwijderen?


Search Baron-virus van Mac is een overlast die de surfervaring van het slachtoffer vermindert door omleigen naar Bing. Het is dus onderhevig aan dringende verwijdering.

Update: Oktober 2020

Dreigingsprofiel
Naam Search Baron (SearchBaron.com) browser hijacker
Categorie Browser hijacker, redirect virus, Mac adware
IP 151.139.128.10, 13.32.255.71, 204.11.56.48
Verwante Domeinen searchmarquis.com, hut.brdtxhea.xyz, mybrowser-search.com
Detectie Avast: MacOS:MaxOfferDeal-I [Adw], BitDefender: Adware.MAC.Genieo.WS, ESET: A Variant Of OSX/Adware.MaxOfferDeal.N, McAfee: RDN/Generic.osx, Microsoft: Trojan:Win32/Bitrep.A, Sophos: Generic PUA PB (PUA), Symantec: OSX.Trojan.Gen
Symptomen Leidt de webbrowser om naar SearchBaron.com en Bing.com, voegt gesponsorde inhoud toe aan de zoekresultaten, veroorzaakt een vertraging van het systeem.
Distributie Freeware bundles, torrents, booby-trapped software updates, misleading popup ads, spam
Ernst dreiging Medium
Schade Ongewenste wijzigingen van aangepaste browsingsinstellingen, privacyproblemen als gevolg van het traceren van internetactiviteit, zoek-omleidingen, overbodige advertenties
Verwijdering Scan uw Mac met Combo Cleaner om alle bestanden in verband met de browser-hijacker te detecteren. Gebruik de tool om de infectie te verwijderen indien die wordt gevonden.

Van alle vormen van kwaadwillige activiteit gericht op Macs, is een browser kaping een van de meest vervelende. Het gevolg is dat de voorkeuren voor het surfen op het web plotseling uit de handen van de gebruiker glippen, waardoor het internetverkeer naar ongewenste sites wordt geforceerd. Hoewel dit soort aanvallen niet wordt gecategoriseerd als ernstig, zijn ze enorm irritant en vereisen ze een grondige schoonmaakbeurt. Weinig infecties uit deze cluster bereiken ooit het level van distributie die het onlangs ontdekte Search Baron-virus kan opscheppen. Het is de afgelopen dagen in tal van Mac-computers geïnfiltreerd en heeft een aantal grote storingen in de veiligheidscircuits veroorzaakt. De plaag manifesteert zich door de aangepaste internetnavigatie-instellingen over te nemen om het webverkeer van het slachtoffer te herverdelen. Wanneer de getroffen gebruiker probeert een willekeurige site te bezoeken, stuurt de infectie hem eerst door naar searchbaron.com, en stuurt hem dan door naar bing.com.

Startpunt van een browseromleiding veroorzaakt door Search Baron-virus Mac

In het begin lijkt de logica van deze aanval ver weg. Waarom zou je de online voorkeuren van een Mac-gebruiker herzien en deze vervolgens meenemen naar Bing, een legitieme zoekmachine? De motivatie van de operatoren van deze schaduwrijke campagne is echter subtieler dan het lijkt. Elke keer dat de omleiding plaatsvindt, volgt het een complex pad met tussenliggende domeinen, zoals de bekende malafide searchnewworld.com site of pagina's die gehost worden op AWS (Amazon Web Services) platform. Een vaak gerapporteerd voorbeeld van dit laatste is: searchroute-1560352588.us-west-2.elb.amazonaws.com. Trouwens, het gebruik van gerenommeerde cloud netwerken voor het parkeren van visachtige web resources is een manier voor cybercriminelen om blacklisting te ontwijken. Deze sites worden trouwens niet merkbaar weergegeven in de browser onderweg, maar technisch gezien worden ze bezocht als onderdeel van de omleiding.

Een bijproduct van de browser-kaping golf van Search Baron is dat er nieuwe kwaadaardige domeinen worden toegevoegd aan het genre van de operators. Een van de voorbeelden in actieve rotatie is de hut.brdtxhea.XYZ URL. Specifiek is de volledige string hut.brdtxhea.xyz / api / rolbng / ffind. Een andere verschuiving die plaatsvond bijna een jaar nadat de campagne oorspronkelijk losbarstte is dat het bereik van de cross-promotie entiteiten is aangevuld met mybrowser-search.com. Dit is een nepdienst die gebaseerd is op aangepaste zoekresultaten die zijn uitbesteed aan een andere motor zonder enige eigen waarde te leveren. De architecten van dit overkoepelende schema hebben een complex netwerk van dubieuze middelen opgebouwd dat zich steeds verder uitbreidt. De boosdoeners drijven daardoor verkeer naar specifieke pagina's terwijl het lijkt alsof de enige beantwoorde site bing.com is. Deze truc is niet nieuw, maar het blijft het schetsmatige businessmodel voeden dat gebaseerd is op het onderscheppen van verkeer voor fondsenwerving.

Search Baron browserkaping is zo vervelend dat het een andere ongewenste gril van de onderliggende kwaadaardige app overschaduwt. Als je op een Mac werkt, houdt het virus bovendien de online activiteiten van het slachtoffer in de gaten. Het controleert geruisloos welke sites worden bezocht en welke zoekopdrachten worden ingevoerd. Bovendien kan de infectie zich richten op gevoelige gegevens die de gebruiker typt om in te loggen op zijn persoonlijke webaccounts waaronder e-banking, e-mail en cloudservices. Door al deze gegevens te verzamelen kunnen de cybercriminelen achter Search Baron een verveeld profiel van het nietsvermoedende doelwit vormen en deze informatie misbruiken om identiteitsdiefstal en betrouwbaar uitziende phishing-strategieën uit te voeren. De kans is groot dat de gegevens worden verkocht aan andere bedreigingsactoren, zoals onfatsoenlijke adverteerders of high-profile hackers.

Het gemeenschappelijke ingangspunt voor de inval van het Search Baron-virus is bundeling. Dit is een langlopende hoax die mensen verleidt tot het installeren van kwaadaardige programma's. Sommige opvallende en meestal gratis apps die op verschillende ongecertificeerde softwareportalen worden gepromoot, vormen de kern van deze constructie, waardoor de gebruikers denken dat ze het geluk hebben om zo'n handige tool zonder kosten te krijgen. Het kan echter voorkomen dat de installatie extra items verbergt, hoewel er meestal geen melding wordt gemaakt van dit feit. Het resultaat is dat de te volgen prooi door de installatiewizard wordt geklikt om de mogelijk ongewenste toepassing extra te installeren. Mac-gebruikers moeten tenslotte de volgende les leren: schakel de standaard setup-modus uit bij het installeren van freeware en controleer of er ongewenste aanvullende objecten zijn. Het lezen van de kleine lettertjes kan soms je dag maken.

Een van de intermediaire domeinen die betrokken zijn bij Search Baron-browser redirect schema

Wanneer het Search Baron-virus in een Mac wordt gebruikt, wordt het zelf toegevoegd aan de aanmeldingsitems voor persistentie. Het verandert ook de instellingen van de voorkeursbrowser van de beheerder, waardoor de zoekprovider en de startpagina standaard op searchbaron.com worden gezet. Overigens heeft de URL een string die wijst op een specifieke malvertising sub-campagne. De string kan bijvoorbeeld iets als searchbaron.com/v1/hostedsearch zijn. De slecht aangepaste set-ups in Safari, Chrome of Firefox zullen telkens opnieuw in werking treden als het slachtoffer probeert de juiste services handmatig te selecteren, omdat er een kwaadaardige plugin is geconfigureerd om die ongewenste veranderingen steeds weer door te voeren. Een ander element van persistentie is dat de infectie een nieuw administratief profiel toevoegt dat wordt vermeld onder Systeemvoorkeuren. Deze onbetrouwbare entiteit belemmert het opruimproces door specifiek gedrag van de betrokken webbrowser af te dwingen, inclusief de standaardinstellingen. Dat betekent dat de reparatie neerkomt op het verwijderen van het eigenlijke Search Baron-virus, met inbegrip van de onderdelen die bedoeld zijn voor verhoogde prioriteit en obstiniteitseffecten op de Mac, en vervolgens het opnieuw aanpassen van de betreffende webbrowser. De walkthroughs hieronder omvatten wat er gedaan moet worden.


Search Baron handmatig virus verwijderen voor Mac

De onderstaande stappen zorgen dat je deze kwaadaardige applicatie kunt verwijderen. Zorg ervoor dat je de instructies in de aangegeven volgorde volgt.

  1. Kijk in het Ga-menu de zoekbalk van je Mac en selecteer Hulpprogramma's zoals hieronder weergegeven.

    Ga naar Hulpprogramma’s

  2. Zoek het Activiteitenweergave-icoontje op het Hulpprogramma's scherm en dubbelklik erop.

    Selecteer de Activiteitenweergave

  3. Zoek in de Activiteitenweergave app naar een proces dat verdacht lijkt. Om de zoekopdracht te verfijnen, kijk je naar onbekende resource-intensieve items op de lijst. Houd er rekening mee dat de naam niet noodzakelijkerwijs gerelateerd is aan de manier waarop de dreiging zich manifesteert, dus je zult op je eigen oordeel moeten vertrouwen. Als je de dader hebt gevonden, selecteer je deze en klik je op het Stop-icoontje in de linkerbovenhoek van het scherm.

    Stop Kwaadaardig proces

  4. Wanneer er een vervolg dialoogvenster verschijnt met de vraag of je zeker weet dat je proces wilt stoppen, selecteert je de optie Forceer stop.

    Selecteert je de optie Forceer stop

  5. Klik opnieuw op het Ga-menupictogram in de zoekbalk en selecteer Ga naar map. Je kunt ook de sneltoets Command-Shift-G gebruiken.

    Gebruik de functie Ga naar folder

  6. Typ /Bibliotheek/LaunchAgents in het dialoogvenster voor het zoeken naar mappen en klik op de knop Ga.

    Open /Bibliotheek/LaunchAgents folder

  7. Zoek in de LaunchAgents-folder naar dubieus uitziende items. Houd er rekening mee dat de namen van bestanden die door malware worden voortgebracht geen duidelijke aanwijzingen kunnen geven dat ze kwaadaardig zijn, dus je moet zoeken naar recentelijk toegevoegde entiteiten die lijken af te wijken van de norm.

    Ter illustratie volgen hier verschillende voorbeelden van LaunchAgents met betrekking tot mainstream Mac-infecties: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, en com.msp.agent.plist. Als je bestanden ziet die niet op de lijst thuishoren dan kun je ze naar de Prullenbak slepen.

    Inhoud van de map LaunchAgents op rootniveau

  8. Gebruik de Ga naar map op zoek functie opnieuw om te navigeren naar de map met de naam ~/Bibliotheek/Application Support (let op het tilde-symbool dat is voorgeprogrammeerd op het pad).

    Open ~/Bibliotheek/Application Support map

  9. Wanneer de Application Support map wordt geopend, identificeer dan de recentelijk gegenereerde verdachte mappen daarin en doe ze in de prullenbak. Een snelle tip is om te zoeken naar items waarvan de namen niets te maken hebben met Apple producten of apps die je bewust hebt geïnstalleerd. Een paar voorbeelden van bekende malafide mapnamen zijn UtilityParzeProgressSite, en IdeaShared.

    Inhoud van de ondersteuningsmap voor toepassingen

  10. Voer ~/Bibliotheek/LaunchAgents tekenreeks in (vergeet niet het tilde karakter op te nemen) in het Ga naar map zoekgebied.

    Open ~/Bibliotheek/LaunchAgents directory

  11. Het systeem zal LaunchAgents weergeven die zich in de Home directory van de huidige gebruiker bevinden. Zoek naar onbetrouwbare items met betrekking tot het Search Baron virus (zie de logica gemarkeerd in de subsecties hierboven) en sleep de verdachten naar de Prullenbak.

    Inhoud van de LaunchAgents-map in de thuismap van de gebruiker

  12. Type /Bibliotheek/LaunchDaemons in het zoekveld Ga naar map.

    Ga naar /Bibliotheek/LunchDaemons

  13. Probeer in het pad LaunchDaemons de bestanden te lokaliseren die de malware gebruikt voor persistentie. Enkele voorbeelden van dergelijke items die door Mac-infecties zijn bijgesneden, zijn com.pplauncher.plist, com.startup.plist en com.ExpertModuleSearchDaemon.plist. Verwijder deze dubieuze bestanden onmiddellijk.

    Inhoud van de map LaunchDaemons

  14. Klik op het Ga-menupictogram in de Finder van je Mac en selecteer Apps in de lijst.

    Ga naar het scherm Apps op de Mac

  15. Zoek de ingang voor een app die daar duidelijk niet thuishoort en verplaats deze naar de Prullenmand. Als voor deze actie je admin-wachtwoord nodig is voor bevestiging dan kun je deze invoeren.

    Sleep kwaadaardige app naar de Prullenmand

  16. Ga naar het Apple menu en selecteer Systeemvoorkeuren.

    Selecteer Systeemvoorkeuren

    Open Systeemvoorkeuren

  17. Ga naar Gebruikers en groepen en klik op het tabblad Inloggen.

    Ga naar Gebruikers en groepen

    Het systeem toont de lijst met items die gestart zijn bij het opstarten van de computer. Zoek daar de mogelijk ongewenste app en klik op de "-" knop.

    Verwijder ongewenste inloggen

  18. Selecteer nu Profielen onder Systeemvoorkeuren. Zoek naar een kwaadaardig item in de linker zijbalk. Enkele voorbeelden van configuratieprofielen die door Mac adware zijn gemaakt, zijn TechSignalSearch, MainSearchPlatform, AdminPrefs en Chrome Settings. Selecteer de overtredende entiteit en klik op het minteken onderaan om deze te verwijderen. 

    Selecteer nu Profielen onder Systeemvoorkeuren

    Verwijder kwaadaardige configuratieprofielen van de Mac

    Als je Mac is geïnfiltreerd door adware, zal de infectie waarschijnlijk de standaardwebbrowser blijven domineren, zelfs nadat je het onderliggende programma en de onderdelen ervan in het systeem hebt verwijderd. Gebruik de onderstaande instructies voor het opschonen van de browser om de resterende gevolgen van deze aanval aan te pakken.

De Search Baron verwijderen in webbrowser op Mac

Om te beginnen moeten de instellingen van de webbrowser die door het Search Baron redirect virus zijn overgenomen, worden hersteld naar de standaardinstellingen. Dit zal de meeste van je eigen instellingen, surfgeschiedenis en alle tijdelijke gegevens die door websites zijn opgeslagen wissen, maar ook de schadelijke interferentie. Het overzicht van de stappen voor het voltooien van deze procedure is als volgt:

  1. Verwijder het Search Baron-virus uit Safari
    • Open de browser en ga naar het Safari-menu. Selecteer Voorkeuren in de vervolgkeuzelijst.

      Geavanceerd tabblad onder Safari Voorkeuren

    • Zodra het Voorkeuren-scherm verschijnt, klik je op het tabblad Geavanceerd en activeer je de optie "Toon Ontwikkel-menu in menubalk".

      Geavanceerd tabblad onder Safari Voorkeuren

    • Nu het item Ontwikkeling is toegevoegd aan het Safari-menu, schuif je het uit en klik je op Leeg caches.

      Leeg caches in Safari

    • Selecteer nu Geschiedenis in het Safari-menu en klik op Wis geschiedenis in de keuzelijst.

      Wis geschiedenis in Safari

    • Safari zal een dialoogvenster weergeven waarin wordt gevraagd om de periode te specificeren waarop deze actie van toepassing zal zijn. Selecteer voor maximaal effect de hele geschiedenis. Klik op de knop Wis geschiedenis om te bevestigen en af te sluiten.

      Selecteer hele geschiedenis om te wissen

    • Ga terug naar de Safari Voorkeuren en klik op de Privacy tabblad bovenaan. Zoek de optie Beheer websitegegevens en klik erop.

      optie Beheer websitegegevens onder het tabblad Privacy

    • De browser geeft een vervolgscherm weer met de websites die gegevens over uw internetactiviteiten hebben opgeslagen. Dit dialoogvenster bevat bovendien een korte beschrijving van wat de verwijdering doet: het is mogelijk dat je wordt uitgelogd van sommige diensten en dat je andere veranderingen in het gedrag van de website tegenkomt na de ingreep. Als je dat goed vindt, dan kun je op de knop Verwijder alles klikken.

      Bevestigingsdialoog

    • Herstart Safari.
  2. Verwijder Search Baron van Google Chrome
    • Open Chrome, klik op het pictogram Google Chrome aanpassen en beheren (⁝) in het rechterbovengedeelte van het venster en selecteer Instellingen in de vervolgkeuzelijst.

      Chrome Instellingen

    • Selecteer in het deelvenster Instellingen Geavanceerd.
    • Scroll naar beneden naar het gedeelte Instellingen resetten.

      Instellingen resetten

    • Bevestig de Chrom-reset in een dialoogvenster dat verschijnt. Wanneer de procedure is voltooid, start je de browser opnieuw op en controleert je deze op malwareactiviteit.

      Hier wordt uitgelegd hoe je de instellingen in Chrome op de Mac kunt resetten

  3. Verwijder het Search Baron van Mozilla Firefox
    • Open Firefox en ga naar Help - Probleemopossingsinformatie (of typ about:support in de URL-balk en druk op Enter).

      Open Firefox en ga naar Help

      Open Firefox en ga naar Help - Probleemopossingsinformatie

    • Klik in het scherm Probleemopossingsinformatie op de knop Firefox opfrissen.

      Firefox opfrissen op Mac

    • Bevestig de voorgenomen wijzigingen en start Firefox opnieuw op.

Het Search Baron virus verwijderen met behulp van Combo Cleaner automatisch verwijderprogramma

De Mac-onderhouds- en beveiligingsapp Combo Cleaner is een alles-in-een oplossing voor het opsporen en verwijderen van Search Baron-virus. Deze techniek heeft aanzienlijke voordelen ten opzichte van handmatig opruimen, omdat het hulpprogramma elk uur een update van de virusdefinitie krijgt en zelfs de nieuwste Mac-infecties nauwkeurig kan opsporen.

Bovendien vindt de automatische oplossing de kernbestanden van de malware diep in de systeemstructuur, wat anders een uitdaging zou kunnen zijn om zelf te vinden. Hier is een stap-voor-stap handleiding om Search Baron te verwijderen met behulp van Combo Cleaner:

  1. Download het Combo Cleaner installatieprogramma. Als je klaar bent, dubbelklik je op het bestand combocleaner.dmg en volg je de aanwijzingen om het programma op je Mac te installeren.

    Combo-reiniger downloaden

    Door het downloaden van alle toepassingen die op deze website worden aanbevolen, ga je akkoord met onze Algemene Voorwaarden en het Privacybeleid. De gratis scanner controleert of je Mac is geïnfecteerd. Om van malware af te komen, moet je de Premium-versie van Combo Cleaner aanschaffen.

  2. Open de app vanaf je Launchpad en laat deze de update van de database met malware uitvoeren om te checken of deze de nieuwste bedreigingen kan detecteren.
  3. Klik op de knop Combo-Scannen starten om je Mac te controleren op schadelijke activiteiten en prestatieproblemen.

    Combo Cleaner Mac scan progress

  4. Bekijk de scanresultaten. Als in het rapport staat "No Threats" (geen bedreigingen), dan ben je op de goede weg met het handmatig schoonmaken en kun je veilig verder gaan met het opruimen van de webbrowser die door de nawerkingen van de malware-aanval kan blijven werken (zie de instructies hierboven).

    Combo Cleaner scan report – no threats found

  5. Als Combo Cleaner kwaadaardige code heeft ontdekt, dan klik je op de knop Geselecteerde items verwijderen en laat je het hulpprogramma Search Baron-bedreiging verwijderen, samen met eventuele andere virussen, PUP's (mogelijk ongewenste programma's) of ongewenste bestanden die niet op je Mac thuishoren.

    Combo Cleaner – threats found

  6. Als je ervoor hebt gezorgd dat het kwaadaardige programma is verwijderd, kan het probleem op browserniveau nog steeds op je takenlijst staan. Als het probleem zich voordoet in de voorkeursbrowser, kun je het vorige gedeelte van deze handleiding gebruiken om weer probleemloos op het web te kunnen surfen.

FAQ

107

Was this article helpful? Please, rate this.

There are no comments yet.
Authentication required

You must log in to post a comment.

Log in