Skip to main content

Como remover o vírus SearchBaron do Mac

o vírus Search Baron Mac é um inconveniente que prejudica a experiência de navegação da vítima ao redirecionar o tráfego para o Bing, como tal teve ser prontamente removido.

Atualizar: novembro 2024

Threat Profile
Nome Search Baron (SearchBaron.com) sequestrador de browser
Categoria Sequestrador de browser, vírus de redirecionamento, adware para Mac
IP 151.139.128.10, 13.32.255.71, 204.11.56.48
Domínios Relacionados searchmarquis.com, hut.brdtxhea.xyz, mybrowser-search.com
Deteção Avast: MacOS:MaxOfferDeal-I [Adw], BitDefender: Adware.MAC.Genieo.WS, ESET: A Variant Of OSX/Adware.MaxOfferDeal.N, McAfee: RDN/Generic.osx, Microsoft: Trojan:Win32/Bitrep.A, Sophos: Generic PUA PB (PUA), Symantec: OSX.Trojan.Gen
Sintomas Redireciona o web browser para SearchBaron.com e Bing.com, adiciona conteúdo patrocinado aos resultados de pesquisa, torna o sistema mais lento
Distribuição Pacotes de software gratuito, torrents, atualizações de software armadilhadas, anúncios pop-up enganadores, spam
Nível de Gravidade Médio
Danos Alterações indesejadas às definições de navegação personalizadas, problemas de privacidade devidos a tracking da atividade na Internet, redirecionamento de pesquisas, anúncios redundantes
Remoção Analise o seu Mac com o Combo Cleaner para detetar todos os ficheiros relacionados com o sequestro do browser. Utilize esta ferramenta para remover a infeção detetada.

De todas as formas de atividade maliciosa que afetam os Macs, um sequestro do browser é uma das ocorrências mais incómodas. Faz com que as preferências de navegação saiam subitamente do controlo do utilizador, o que origina o encaminhamento forçado do tráfego para sites indesejados. Embora este tipo de ataque não esteja categorizado como severo, é extremamente irritante e requer uma limpeza exaustiva. Poucas infeções deste tipo atingem o grau de distribuição que o recentemente descoberto vírus Search Baron exibe. Infiltrou numerosos computadores Mac ao longo dos últimos dias, causando grande agitação nos círculos da segurança. A praga manifesta-se quando se apodera das definições personalizadas de navegação na Internet de modo a redistribuir o tráfego web da vítima. Quando o utilizador afetado tenta visitar um site aleatório, a infeção começa por encaminhá-lo para searchbaron.com, e redireciona-o então para bing.com.

Ponto de partida de um redirecionamento de browser causado pelo vírus Search Baron Mac

À primeira vista, a lógica deste ataque não parece fazer muito sentido. Porquê reformular as preferências de navegação do utilizador apenas para o levar até ao Bing, um motor de busca legítimo? Porém, a motivação dos operadores desta campanha obscura é mais subtil do que parece. Cada vez que o redirecionamento acontece, este segue um caminho complexo envolvendo domínios intermediários, tais como o site reconhecidamente malicioso searchnewworld.com ou páginas alojadas na plataforma AWS (Amazon Web Services). Um exemplo frequentemente reportado deste último caso é searchroute-1560352588.us-west-2.elb.amazonaws.com. A propósito, a utilização de redes fidedignas na cloud para alojar recursos web duvidosos é uma forma de os cibercriminosos se evadirem a serem incluídos em "listas negras". Estes sites não são apresentados explicitamente no browser mas, tecnicamente, são visitados como parte do reencaminhamento.

Uma consequência adicional da onda de sequestros pelo Search Baron é que novos domínios maliciosos são adicionados às suas páginas de destino a jusante. Um dos exemplos em circulação ativa é o URL hut.brdtxhea.xyz. Especificamente, a string completa é hut.brdtxhea.xyz/api/rolbng/ffind. Outra mudança ocorrida quase um ano após a explosão inicial da campanha foi que a gama de entidades envolvidas na promoção cruzada foi complementada com mybrowser-search.com. Este é um serviço fraudulento que se baseia nos resultados de pesquisa personalizados externalizados para outro motor de busca sem fornecer ele próprio nenhum valor. Os arquitetos deste abrangente esquema construiram uma complexa rede de recursos duvidosos que continua em expansão. Os malfeitores estão, portanto, a dirigir o tráfego para páginas específicas, fazendo parecer que o único site apresentado é o bing.com. O truque não é novo, mas continua a alimentar o modelo de negócio dúbio baseado na interceção de tráfego para efeitos de monetização.

O sequestro do browser pelo Search Baron é tão irritante que acaba por encobrir outra particularidade da aplicação maliciosa subjacente. Quando se encontra ativo num Mac, o vírus acompanha também as atividades online da vítima.  Ele monitoriza silenciosamente que sites são visitados e que palavras chave de pesquisa são introduzidas. Para além disso, a infeção pode focar-se em credenciais sensíveis que o utilizador introduz para fazer log-in nas suas contas web pessoais, incluindo serviços de e-banking, e-mail e cloud. Ao compilar todos estes detalhes, os cibercriminosos por detrás do Search Baron podem criar um perfil prolixo do alvo inocente e abusar desta informação para levar a cabo roubo de identidade e estratagemas de phishing de aparência confiável. Com toda a probabilidade, estes dados serão vendidos a outros agentes ameaçadores, como publicitários desonestos ou importantes grupos de hackers.

A porta de entrada comum para a incursão do vírus Search Baron é o bundling. Trata-se de um esquema fraudulento existente há muito que leva as pessoas a instalarem programas maliciosos. Algumas aplicações apelativas, geralmente gratuitas, promovidas em diversos portais de software não certificado, estão no centro deste esquema, levando os utilizadores a pensar que têm sorte por conseguirem uma ferramenta tão sofisticada a custo zero. Porém, o cliente que realiza a instalação pode afinal ter itens extra escondidos, embora normalmente não haja referências a este facto. Como consequência, a potencial presa vai em frente, clicando em janela após janela do assistente de instalação, apenas para instalar adicionalmente a aplicação potencialmente indesejada. Os utilizadores de Mac deveriam aprender finalmente a lição: não escolham o modo predefinido quando instalam software gratuito e verifiquem se existem objetos complementares indesejados. Ler as letras pequeninas pode, por vezes, fazer-nos mesmo ganhar o dia.

Um dos domínios intermediários envolvidos no esquema de redirecionamento de browser do Search Baron

Quando ativo no interior de um Mac, o vírus Search Baron adiciona-se ao separador Início de sessão de modo a persistir no sistema. Altera também as definições do browser preferencial do administrador, fazendo com que o motor de busca e a página inicial predefinidos revertam para searchbaron.com. Acontece que o URL tem uma sequência final que identifica uma sub-campanha específica de publicidade maliciosa. Por exemplo, a string pode ser algo como searchbaron/v1/hostedsearch.  As definições perniciosamente alteradas no Safari, Chrome ou Firefox irão fazer efeito de cada vez que a vítima tentar selecionar manualmente os serviços corretos, devido à existência de um plug-in malicioso configurado para efetuar repetidamente as alterações indesejadas.  Como elemento adicional de persistência, a infeção adiciona um novo perfil de administrador listado sob Preferências do Sistema. Esta entidade duvidosa dificulta o processo de limpeza ao forçar comportamentos específicos do browser afetado, que incluem as suas predefinições.  Isto significa que a reparação se prende com a remoção do vírus Search Baron propriamente dito, incluindo os seus componentes com efeitos de escalada de privilégios (acesso a recursos protegidos do sistema) e obstinação no Mac, e posteriormente com o reajustamento do web browser afetado.  As instruções passo-a-passo abaixo abrangem o que é necessário fazer.

Remoção manual do vírus Search Baron para Mac

Estes passos vão ensinar-lhe a remover aplicação maliciosa. Não se esqueça de seguir as instruções pela ordem apresentada.

  1. Expanda o menu Ir na barra Finder do eu Mac e selecione Utilitários como mostrado abaixo.

    Ir para Utilitários

  2. Localize o ícone Monitor de Atividade no ecrã Utilitários e clique duas vezes neste.

    Selecionar Monitor de Atividade

  3. Na app Monitor de Atividade, procure um processo aparentemente suspeito. Para restringir a sua pesquisa, foque-se nas entradas de recursos que não lhe são familiares na lista. Lembre-se que o nome não está necessariamente relacionado com a forma como a ameaça se manifesta, terá de confiar no seu julgamento. Se localizar o culpado, selecione-o e clique no ícone Terminar no canto superior esquerdo do ecrã.

    Parar proceso malicioso

  4. Quando depois surgir uma caixa, a perguntar-lhe se tem a certeza de que quer abandonar o processo de resolução de problemas, escolha a opção Forçar terminação.

    Escolha a opção Forçar terminação

  5. Clique outra vez no ícone do menu Ir no Finder e escolha Ir para a pasta. Pode também utilizar o atalho de teclado Command-Shift-G.

    Utilizar o recurso Ir para a pasta

  6. Escreva /Biblioteca/LaunchAgents na caixa de pesquisa de pastas e clique no botão Ir.

    Abrir a pasta /Biblioteca/LaunchAgents

  7. Examine o conteúdo da pasta LaunchAgents à procura de itens duvidosos. Lembre-se que os nomes dos ficheiros gerados por malware podem não dar pistas nítidas de que são maliciosos, deve então procurar entidades recentemente adicionadas que pareçam suspeitas.

    Damos-lhe vários exemplos de LaunchAgents relacionados com típicas infeções Mac: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, e com.msp.agent.plist. Se encontrar ficheiros que não pertencem à lista, avance e arraste-os para o Lixo.

    Conteúdos da pasta LaunchAgents na raiz

  8. Utilize novamente a funcionalidade de pesquisa Ir para a pasta a fim de navegar até à pasta denominada ~/Biblioteca/Application Support (tenha em atenção o til que precedente a expreão).

    Abrir pasta ~/Biblioteca/Application Support

  9. Quando a pasta Application Support for aberta, identifique as pastas suspeitas geradas recentemente dentro dela e envie-as para o Lixo. Uma dica rápida é procurar itens cujos nomes não estão em nada relacionados com produtos ou aplicações Apple que instalou de forma consciente. Alguns exemplos de nomes de pastas maliciosas conhecidas são UtilityParzeProgressSite, e IdeaShared

    Conteúdos da pasta Application Support

  10. Insira ~/Biblioteca/LaunchAgents string (não se esqueça de incluir o til) na área de pesquisa Ir para a pasta.

    Abrir diretório ~/Biblioteca/LaunchAgents

  11. O sistema mostrará a LaunchAgents no diretório Home do utilizador atual. Procure itens duvidosos relacionados com o vírus Search Baron (ver lógica destacada nas subseções acima) e arraste os suspeitos para o Lixo.

    Conteúdo da pasta LaunchAgents no diretório home do utilizador

  12. Digite /Biblioteca/LaunchDaemons no campo de pesquisa Ir para a pasta.

    Ir para /Biblioteca/LaunchDaemons

  13. No caminho LaunchDaemons, tente localizar os ficheiros que o malware está a usar persistentemente. Vários exemplos dos itens utilizado por infeções no Mac são com.pplauncher.plist, com.startup.plist, e com.ExpertModuleSearchDaemon.plist. Elimine imediatamente os ficheiros duvidosos.

    Conteúdo da pasta LaunchDaemons

  14. Clique no ícone do menu Ir no Finder do seu Mac e selecione Aplicações na lista.

    Ir para o ecrã Aplicações no Mac

  15. Encontre a entrada de uma app que claramente destoe do resto e mande-a para o Lixo. Se esta ação exigir a sua password de administrador, introduza-a.

    Arrastar a app maliciosa para o Lixo

  16. Expanda o menu Apple e selecione Preferências do Sistema.

    Selecione Preferências do Sistema

    Abrir Preferências do Sistema

  17. Avance para Utilizadores & Grupos e clique no separador Início de sessão.

    Avance para Utilizadores & Grupos

    O sistema mostrará a lista de itens abertos quando o computador arranca. Localize a app potencialmente indesejada e clique no botão “-“ (menos).

    Eliminar Iniciar sessão indesejado

  18. Agora escolha Perfis em Preferências do Sistema. Procure por um item malicioso na barra lateral esquerda. Vários exemplos de perfis de configuração criados pelo adware Mac incluem TechSignalSearch, MainSearchPlatform, AdminPrefs, e Chrome Settings. Escolha a entidade infratora e clique no sinal menos na parte inferior para eliminá-la.

    Agora escolha Perfis em Preferências do Sistema

    Remover perfil de configuração malicioso do Mac

    Se o seu Mac tiver sido infiltrado por adware, a infecção provavelmente continua a dominar o seu navegador web padrão, mesmo após remover a aplicação subjacente, juntamente com os seus componentes espalhados pelo sistema. Utilize as instruções de limpeza do navegador abaixo para extirpar as restantes consequências do ataque.

Acabe com o Search Baron no browser no Mac

Como ponto inicial, as definições do navegador web estabelecidas pelo vírus Search Baron devem ser restauradas para os seus valores padrão. Apesar de isto eliminar a maioria das suas definições pessoais, o histórico de navegação web e todos os dados temporários armazenados pelos websites, também essa interferência prejudicial deverá ser expurgada. Eis os passos para concluir o procedimento:

  1. Remover o vírus Search Baron do Safari
    • Abra o navegador e dirija-se ao menu Safari. Escolha Preferências no menu suspensa.

      Escolha Preferências no Safari

    • Quando surgir o menu Preferências, clique no separador Avançadas e ative a opção “Mostrar menu Programação na barra de menus”.

      Separador Avançadas nas Preferências do Safari

    • Agora que a entrada Programação foi adicionada ao menu do Safari, aumente-a e clique em Esvaziar caches.

      Esvaziar Caches no Safari

    • Agora selecione Histórico no menu do Safari e clique em Limpar histórico na lista suspensa.

      Limpar histórico no Safari

    • O Safari mostrará uma caixa que lhe pede para especificar o período de tempo a que esta ação se aplicará. Selecione todo o histórico para garantir um efeito máximo. Clique no botão Limpar histórico para confirmar e sair.

      Seleccione todo o histórico para limpar

    • Regresse às Preferências do Safari e clique no separador Privacidade no topo. Encontre a opção que diz Gerir dados dos sites e clique nela.

      Opção gerir dados dos sites no separador Privacidade

    • O navegador mostrará de seguida um ecrã com uma lista dos websites com dados armazenados sobre as suas atividades na internet. Esta caixa tem também uma breve descrição do que faz a remoção: pode ser que saia de alguns serviços e encontre outras alterações no comportamento do website após o procedimento. Se estiver de acordo com isso, clique no botão Remover todos.

      Caixa de confirmação

    • Reiniciar Safari.
  2. Remover Search Baron do Google Chrome
    • Abra o Chrome, clique no ícone Personalizar e controlar o Google Chrome (⁝) na parte superior direita da janela e selecione Definições no menu suspenso.

      clique no ícone Personalizar e controlar o Google Chrome (⁝) na parte superior direita da janela e selecione Definições no menu suspenso.

    • No painel das definições, seleccione Avançadas.
    • Navegue para baixo até à secção Repor definições.

      Repor definições

    • Confirme a restauração do Chrome na caixa de diálogo seguinte. Quando o procedimento estiver concluído, reabra o browser e verifique se o malware ainda está em atividade.

      Eis como pode restaurar as definições no Chrome do Mac

  3. Remover o vírus Search Baron do Mozilla Firefox
    • Abra o Firefox e siga até Ajuda – Informação para resolução de problemas (ou escreva about:support na barra do URL e toque em Enter).

      Abra o Firefox e siga até Ajuda – Informação para resolução de problemas

      Abra o Firefox e siga até Informação para resolução de problemas

    • No ecrã da Informação para a Resolução de Problemas, clique em Restaurar o Firefox.

      Restaurar o Firefox no Mac

    • Confirme as alterações pretendidas e reinicie o Firefox.

Eliminar o vírus Search Baron com a ferramenta de remoção automática Combo Cleaner

A aplicação de manutenção e segurança Mac conhecida como Combo Cleaner é uma ferramenta completa que permite detetar e remover o vírus Search Baron Esta técnica tem vantagens em relação à limpeza manual, já que o utilitário é atualizado todas as horas no que diz respeito aos vírus e consegue detectar com precisão até as mais recentes infeções Mac.

A solução automática também encontrar os arquivos centrais do malware na estrutura do sistema, que podem representar um grande desafio para outras soluções. Abaixo encontra um guia passo-a-passo para resolver o problema do Search Baron com Combo Cleaner:

  1. Faça o download do instalador Combo Cleaner. Quando terminar, clique duas vezes no ficheiro combocleaner.dmg e siga as instruções para instalar a ferramenta no seu Mac.

    Baixe o Combo Cleaner

    Ao fazer o download de qualquer aplicação recomendado neste site, está a concordar com os nossos Termos e Condições e Política de Privacidade. O scanner gratuito verifica se o seu Mac está infetado. Para eliminar o malware, precisa de comprar a versão Premium do Combo Cleaner.

  2. Abra a aplicação no seu Launchpad e deixe-a executar a atualização da base de dados de assinaturas de malware para que possa identificar as ameaças mais recentes.
  3. Clique no botão Iniciar Scan do Combo para verificar se o seu Mac tem actividade maliciosa e problemas de desempenho.

    Combo Cleaner Mac scan progress

  4. Analise os resultados do scan. Se o relatório disser “Sem Ameaças”, pode fazer a limpeza manual e avançar com segurança para organizar o navegador web, que poderá continuar a ser afetado pelos efeitos secundários do ataque de malware (consulte as instruções acima).

    Combo Cleaner scan report – no threats found

  5. Se o Combo Cleaner detetar código malicioso, clique no botão Remover Itens Selecionados e peça ao utilitário para remover a ameaça Search Baron juntamente com quaisquer outros vírus, PUPs (programas potencialmente indesejados) ou ficheiros inúteis que não pertençam ao seu Mac.

    Combo Cleaner – threats found

  6. Quando tiver certeza absoluta de que a aplicação maliciosa está desinstalada, a resolução de problemas do navegador poderá ainda estar na sua lista de tarefas. Se o seu navegador preferido for afetado, volte à seção anterior deste tutorial para reverter para uma navegação web sem problemas.

Perguntas frequentes

197

Was this article helpful? Please, rate this.

  • Chad Smith Avatar
    Chad Smith - há 2 anos
    Search Baron has infected my computer. Please remove all search baron connections

Authentication required

You must log in to post a comment.

Log in