Skip to main content

Как удалить вирус SearchBaron.com из Mac?


Вирус Search Baron - это головная боль для всех "яблочных" фанов. Он делает веб-серфинг невыносимым, постоянно перенаправляя пользователей на свои веб-страницы. Именно поэтому Search Baron необходимо срочно удалить.

Обновление: Октябрь 2020 годa

Профиль угрозы
Название Угонщик браузера Search Baron (SearchBaron.com)
Категория Угонщик браузера, вирус-редирект, рекламная программа (адваря)
IP 151.139.128.10, 13.32.255.71, 204.11.56.48
Связанные домены searchmarquis.com, hut.brdtxhea.xyz, mybrowser-search.com
Обнаружение Avast: MacOS:MaxOfferDeal-I [Adw], BitDefender: Adware.MAC.Genieo.WS, ESET: A Variant Of OSX/Adware.MaxOfferDeal.N, McAfee: RDN/Generic.osx, Microsoft: Trojan:Win32/Bitrep.A, Sophos: Generic PUA PB (PUA), Symantec: OSX.Trojan.Gen
Симптомы Отсылает веб-браузер на страницы SearchBaron.com и Bing.com, добавляет проплаченный контент в результаты поиска, вызывает замедление системы
Распостранение Бесплатные пакеты, торренты, ловушки в обновлениях программного обеспечения, вводящая в заблуждение всплывающая реклама, спам
Уровень риска Средний
Последствия Нежелательные изменения пользовательских настроек браузера, утечка персональных данных в результате отслеживания действий в Интернете, перенаправление поисковых запросов, избыточная реклама
Удаление Используйте Combo Cleaner для сканирования Mac с целью обнаружения всех файлов, связанных с угонщиком браузера. В случае обнаружения инфекции, удалите ее с помощью этого инструмента.

Среди всех форм атак на Mac, угон (захват) браузера является одним из самых раздражающих. В результате такой атаки пользователь теряет контроль над настройками поиска, что влечет за собой принудительное перенаправление интернет-трафика на нежелательные сайты. Несмотря на то что этот риск не относится к категории серьезных, он связан с рядом критических неудобств и требует тщательной очистки системы. Немногие инфекций в этом сегменте когда-либо достигали настолько высокого масштаба распространения, которым может похвастаться недавно обнаруженный вирус Search Baron. За последние несколько дней он проник в многочисленные компьютеры Mac и вызвал серьезные волнения в сфере компьютерной безопасности. Вредитель заявляет о себе немедленно, изменяя под себя параметры Интернет-навигации для перераспределения интернет-трафика жертвы. Когда пользователь зараженной системы пытается посетить произвольный сайт, вирус сначала перенаправляет его на сайт searchbaron.com, а затем на bing.com.

Starting point of a browser redirect caused by Search Baron virus Mac

На первый взгляд, алгоритм этой атаки не имеет особого смысла. Зачем менять параметры Интернет-навигации пользователя Mac? Чтобы отправлять их в Bing, легальную поисковую систему? Серьезно? На самом деле, стратегия этой аферы куда более замысловатая, чем может показаться. При каждом редиректе выполняется сложный переход с задействованием промежуточных доменов, таких как хорошо известный злокачественный сайт searchnewworld.com или страницы, размещенные на платформе AWS (Amazon Web Services). Часто встречающийся в последнее время пример: searchroute-1560352588.us-west-2.elb.amazonaws.com. В этой связи, использование авторитетных облачных сетей для парковки подозрительных интернет-ресурсов позволяет кибер-мошенникам избегать попадания в черный список. Эти сайты тяжело заметить в браузере во время переадресации, но технически в этот момент происходит их посещение.

Таким образом, в добавок к непосредственно угону браузера, инфекция-захватчик Search Baron исподтишка добавляет к своей фасадной странице все новые и новые злокачественные домены. Активно продвигается в этой ротации веб-адрес hut.brdtxhea.xyz. Вот полный полный адрес узла: hut.brdtxhea.xyz/api/rolbng/ffind. А почти год назад после взрывного начала кампании в промышленном масштабе случился еще один важный поворот в ее развитии — к сети платформ, продвигаемых вместе с основной на перекрестно-партнерской основе, был добавлен портал mybrowser-search.com. Это известная фейковая служба которая полностью зависит от кустарно обработанных результатов Интернет-поиска, выполняемого третьей стороной. Своих ресурсов, а значит и поисковой ценности, она не имеет. Архитекторы этой комплексной схемы выстроили сложную сеть, состоящую из сомнительных ресурсов. Ее расширение наблюдается и по сей день. Злоумышленники, таким образом, перенаправляют трафик на конкретные страницы, создавая видимость, что единственным пунктом редиректа является bing.com. Трюк не нов, но за его счет до сих пор процветают модели схемачей, которые перехватывают трафик в целях монетизации.

Негативная реакция на манипуляции с веб-переходами (редиректами) Search Baron столь бурная, что на ее фоне практически не уделяют внимания еще одному виду нежелательного вмешательства в исполнении номинального угонщика браузера. А зря! Ведь «большой брат следит за тобой» — вирус ведет учет онлайн-действий пользователя. Ага, работа такая. Какие Вы сайты посещали, какие поисковые запросы вводили, Search Baron все это мониторит. В добавок, вирус нацелен на чувствительные данные, вводимые при входе в личные учетные записи, в том числе электронного банкинга, электронной почты и облачных сервисов. Собрав и систематизировав эти данные, контролирующим Search Baron кибер-преступникам не составит труда скомпилировать подробный профиль ничего не подозревающей жертвы и с его помощью осуществлять кражу личных данных и фишинг-кампании с высоким уровнем доверия со стороны пострадавших. Весьма вероятно, что собранная информация буде продана прочим веб-агрессорам, например рекламщикам с определенной репутацией или группам профессиональных хакеров.

Вирус Search Baron обычно проникает в систему как часть пакета программ. Это долгоиграющая стратегия, которая позволяет злоумышленникам усыпить внимание пользователя и обманом заставить его установить зловредную программу. Приманкой в этой схеме выступают броские и, как правило, бесплатные приложения, продвигаемые на различных файлообменниках и подобных порталах. Жертвы думают что им при это очень повезло заполучить такой классный инструмент безвозмездно, то есть даром. Но все не так просто! Установщик при распаковке извлекает и интегрирует в систему прочие объекты, на которые пользователь склонен не обращать внимания, будучи полностью сфокусированным на целевом контенте. В результате, будущие пострадавшие без всяких раздумий принимают все условия мастера установки и в дополнение к целевому содержанию получают нежелательное приложение в Мак ОС. Следует раз и навсегда запомнить и использовать как правило: отказываемся от режима установки по умолчанию при инсталляции бесплатного ПО и тщательно проверяем непрошенные дополнительные компоненты. А если почитать текст мелким шрифтом, то, без шуток, это может сберечь Вам уйму времени и нервов.

Landing page involved in Search Baron browser redirect scheme

После проникновения в Мак и начала работы, Search Baron добавляет свою учетную Объекты входа, что позволяет ему запускаться автоматически при загрузке системы. Он также изменяет настройки предпочитаемого администратором браузера таким образом, чтобы домашней страницей и приоритетным инструментам поиска стал веб-сайт searchbaron.com. В некоторых случаях, заданный веб-адрес может имет расширенее, которое соответствует вторичной рекламной кампании с продвижением конкретного домена. Например, в настройках поиска может быть задано следующее значение: searchbaron.com/v1/hostedsearch. Подстроенные под требования зловреда параметры Safari, Chrome или Firefox будут восстановлены каждый раз после попыток пользователя навести порядок вручную. Все изза вирусного плагина, запрограммированного на поддержание и восстановление заданных хакерами параметров. Еще одним элементом, обеспечивающим глубокую интеграцию инфекции в систему, является добавление нового административного профиля в Системных настройках. Это ухищрение блокирует процесс очистки заставляя браузер выполнять заложенные в профиле команды, в том числе связанные с настройками браузера. Это означает, что лечение требует прежде всего удалить тело вируса Search Baron, в том числе компоненты, предназначенные для повышения привилегий и укоренения в Мак ОС. Восстановление нарушенных вирусом настроек браузера завершает процедуру удаления Search Baron. Ниже представлен полные путеводитель по алгоритму устранения угонщика.


Удаление вируса Search Baron для Mac в ручном режиме

Изложенные ниже шаги позволят Вам удалить это зловредное приложение. Обязательно следуйте инструкциям в указанном порядке.

  1. Разверните меню Переход на панели Finder Вашего Mac и выберите вкладку Утилиты, как показано ниже.

    Переход к Утилитам

  2. Найдите значок Мониторинг Системы в открытой вкладке Утилиты, и дважды щелкните его.

    Выбрать Мониторинг системы

  3. В открывшемся приложении Мониторинг системы найдите процесс, который выглядит подозрительным. Чтобы сузить область поиска, сфокусируйте внимание на незнакомых ресурсоемких процессах в списке. Имейте в виду, что название этого процесса не обязательно связано с проявлением угрозы, поэтому здесь Вам придется руководствоваться собственными оценками. Если Вы засекли нарушителя, выберите его и нажмите значок Стоп в верхнем левом углу экрана.

    Остановить зловредный процесс

  4. Когда появится всплывающее диалоговое окно с вопросом, уверены ли Вы, что хотите завершить проблемный процесс, выберите вариант Завершить принудительно.

    Подтвердите завершение вредоносного процесса

  5. Снова нажмите значок меню Переход панели Finder и выберите Переход к папке. Вы также можете использовать сочетание клавиш Command-Shift-G для быстрого перехода.

    Использовать функцию Переход к папке

  6. В диалоговом окне поиска папок введите /Библиотеки/LaunchAgents и нажмите кнопку Перейти.

    Открыть папку /Библиотеки/LaunchAgents

  7. Изучите содержимое папки LaunchAgents на предмет наличия сомнительных элементов. Обратите внимание, имена файлов, созданных зловредными программами, могут не выглядеть явно зловредными, поэтому следует искать недавно добавленные объекты, которые выглядят как отклонение от нормы.

    В качестве иллюстрации, вот несколько примеров из LaunchAgents, связанных с распространенными инфекциями Mac: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, и com.msp.agent.plist. Если обнаружите файлы, которые не принадлежат к списку, просто перетащите их в Корзину.

    Содержимое корневой папки LaunchAgents

  8. Снова используйте функцию поиска Переход к папке чтобы перейти к папке под названием ~/Библиотеки/Application Support (обратите внимание на символ тильды, добавленный перед путем).

    Открыть ~/Библиотеки/Application Support

  9. Когда откроется каталог поддержки приложений (Application Support directory), найдите в нем недавно созданные подозрительные папки и отправьте их в Корзину. Быстрый совет — ищите элементы, названия которых не имеют ничего общего с продуктами Apple или приложениями, которые Вы точно сами установили. Вот несколько примеров имен известных зловредных папок: UtilityParzeProgressSite и IdeaShared.

    Содержание папки Application Support

  10. Введите строку ~/Библиотеки/LaunchAgents (не забудьте включить символ тильды) в область поиска Переход к папке.

    Открыть каталог ~/Библиотеки/LaunchAgents

  11. В системе отобразятся Агенты запуска (LaunchAgents), находящиеся в каталоге Home текущего пользователя. Ищите сомнительные файлы, связанные с вирусом Search Baron (см. алгоритм предыдущих пунктов) и перетащите подозрительные файлы в Корзину.

    Содержимое папки LaunchAgents в домашнем каталоге (home directory) пользователя

  12. Введите /Библиотеки/LaunchDaemons в строке поиска Переход к папке.

    Переход к /Библиотеки/LaunchDaemons

  13. В открытом окне вкладки LaunchDaemons попытайтесь определить файлы, которые зловред использует для персистентности (в данном случае, чтобы автоматически запускаться на корневом уровне). Несколько примеров таких объектов, генерируемых инфекциями Mac: com.pplauncher.plist, com.startup.plist и com.ExpertModuleSearchDaemon.plist. Немедленно удалите скомпрометированные файлы.

    Содержимое папки LaunchAgents в домашнем каталоге (home directory) пользователя

  14. Снова нажмите на значок меню Переход на панели Finder, и в перечне выберите Программы.

    Переход в окно Программы в Mac

  15. Найдите объект для приложения, которое там явно лишнее, и переместите его в Корзину. Если для подтверждения этого действия потребуется пароль администратора, просто введите его.

    Перетащите зловредную программу в Корзину

  16. Разверните меню Apple и выберите пункт Системные настройки.

    Выберите пункт Системные настройки

    Откройте Системные настройки

  17. Откройте Пользователи и группы и щелкните вкладку Объекты входа.

    Откройте Пользователи и группы

    Система отобразит список процессов, которые запускаются при включении компьютера. Найдите там потенциально нежелательное приложение и нажмите кнопку «-» (минус).

    Удалите нежелательный объект входа

  18. Теперь выберите Профили на вкладке Системные настройки. Ищите зловредный элемент на левой боковой панели. Несколько примеров профилей конфигурации, созданных Mac адварей: TechSignalSearch, MainSearchPlatform, AdminPrefs и Chrome Settings. Выберите зловредный элемент и нажмите на знак «минус» внизу, чтобы устранить его.

    Выберите Профили на вкладке Системные настройки

    Удалить зловредный профиль конфигурации из Mac

    Если Ваш Mac был заражен адварей, вирус, скорее всего, по-прежнему будет контролировать веб-браузер, который Вы используете по умолчанию, даже после того, как Вы удалите базовое приложение вместе с его компонентами в разных частях системы. Воспользуйтесь приведенными ниже инструкциями по очистке браузера, чтобы устранить оставшиеся последствия этой атаки.

Как удалить заражение Search Baron в веб-браузере Mac

Для начала необходимо вернуть в исходное состояние первичные настройки веб-браузера, которые были нарушены вирусом Search Baron. Это удалит большинство пользовательских конфигураций, историю веб-поиска и все временные данные, которые хранятся на веб-сайтах, но зато прекратит вмешательство вируса в работу браузера. Ниже изложены шаги для выполнения этой процедуры:

  1. Как удлить вирус Search Baron в Safari
    • Откройте браузер и перейдите в меню Safari. Выберите Настройки в выпадающем списке.

      Откройте Настройки в Safari

    • После появления окна Настройки, щелкните вкладку Дополнения и активируйте опцию «Показывать меню «Разработка» в строке меню».

      Вкладка Дополнения в Настройках Safari

    • Теперь, когда пункт Разработка добавлен в меню Safari, раскройте его и щелкните Очистить кэши.

      Очистить кэши в Safari

    • Далее, выберите История в меню Safari и щелкните Очистить историю в выпадающем списке.

      Очистить историю в Safari

    • В Safari появится диалоговое окно с запросом указать период времени, к которому относится это действие. Для максимального эффекта, выберите всю историю. Щелкните кнопку Очистить историю для подтверждения и выхода.

      Выберите «всю историю» в меню Очистить

    • Вернитесь в Настройки Safari и перейдите на вкладку Конфиденциальность в верхнем меню. Найдите опцию «Управлять данными веб-сайтов» и щелкните ее.

      Опция Управлять данными веб-сайтов во вкладке Конфиденциальность

    • В браузере появится следующее окно со списком веб-сайтов, которые хранят информацию о Вашей действиях в Интернете. Это диалоговое окно также содержит краткое описание последствий: данное действие может привести к выходу из веб-сайтов или изменению их поведения после завершения процедуры удаления данных. Если принимаете такие условия, просто щелкните кнопку Удалить все.

      Подтверждение выбора

    • Перезапустите Safari.
  2. Как удалить Search Baron в Google Chrome
    • Откройте Chrome, щелкните значок Настройка и управление Google Chrome (⁝) в правом верхнем углу окна и выберите Настройки в выпадающем списке.

      Настройки Chrome

    • В открытой панели Настройки, выберите Дополнительные.
    • Промотайте вниз до раздела Сбросить настройки.

      Сбросить настройки в Chrome на Mac

    • Подтвердите сброс настроек Chrome в появившемся диалоговом окне. По завершении процедуры, перезапустите браузер и проверьте отсутствие симптомов зловредного ПО.

      Как сбросить настройки Chrome в Mac

  3. Как удалить Search Baron в Mozilla Firefox
    • Откройте Firefox и перейдите в Справка – Информация для решения проблем (или наберите about:support в адресной строке и нажмите Enter).

      Откройте Firefox и перейдите в Справка

      Выберите Информация для решения проблем

    • В открытом окне Информация для решения проблем, нажмите кнопку Очистить Firefox.

      Очистить Firefox в Mac

    • Выполните подтверждение заявленных изменений и перезапустите Firefox.

Search Baron может инфицировать Mac неоднократно, до тех пор, пока Вы не удалите все его фрагменты, включая скрытые.

Приложение для обслуживания и безопасности Mac-компьютеров под названием Combo Cleaner - это универсальное средство для обнаружения и удаления вируса Search Baron. Этот метод имеет существенные преимущества по сравнению с ручной очисткой, поскольку утилита ежечасно получает обновления вирусных баз и может точно определять даже самые новые инфекции Mac.

Кроме того, автоматическое решение найдет основные файлы вредоносного ПО в глубине структуры системы, что может оказаться довольно трудоёмким при ручном поиске. Вот пошаговое руководство для решения проблемы Search Baron с помощью Combo Cleaner:

  1. Скачайте установщик Combo Cleaner. Когда сделаете это, сделайте двойной клик на файл combocleaner.dmg и следуйте инструкциям по установке программы на Ваш Mac.

    Скачать Combo Cleaner

    Загружая любые приложения, рекомендованные на этом сайте, вы соглашаетесь с нашими Условиями and Политикой Конфиденциальности. Бесплатный сканер проверяет, заражен ли ваш Мак. Чтобы избавиться от вредоносных программ, вам необходимо приобрести Премиум-версию Combo Cleaner.

  2. Откройте приложение с Панели запуска и дайте ему запустить обновление своей вирусной базы, чтобы убедиться, что оно сможет идентифицировать последние угрозы.
  3. Нажмите кнопку Start Combo Scan (Начать Сканирование), чтобы проверить ваш Mac на наличие вредоносных действий и проблем с производительностью..

    Combo Cleaner Mac scan progress

  4. Изучите результаты сканирования. Если в отчете написано “No Threats” (Нет угроз), то Вы правильно произвели ручной очистку и можете перейти к приведении в порядок Вашего веб-браузера, который, в свою очередь, может продолжать содержать последствия атаки вредоносного ПО (см. Инструкции выше).

    Combo Cleaner scan report – no threats found

  5. Если Combo Cleaner обнаружил вредоносный код, нажмите кнопку Remove Selected Items (Удалить Выбранные Объекты) и удалите силами утилиты зловредный Search Baron вместе с любыми другими вирусами, PUP (потенциально нежелательными программами) или ненужными файлами, которые не принадлежат вашему Mac..

    Combo Cleaner – threats found

  6. После того как вы дважды убедились, что вредоносное приложение удалено, в Вашем списке может всё ещё оставаться устранение неполадок на уровне браузера. Если ваш любимый браузер затронут, обратитесь к предыдущему разделу этой инструкции, чтобы вернуться к беспроблемному веб-серфингу.

ЧАВО

107

Was this article helpful? Please, rate this.

There are no comments yet.
Authentication required

You must log in to post a comment.

Log in