Search Baron viruset (Mac) är ett bekymmer som försämrar offrets webbupplevelse genom att omdirigera trafiken till Bing, därför är det viktigt med skyndsam rensning.
Uppdatering: april 2024
| Hotprofil | |
|---|---|
| Namn | Search Baron (SearchBaron.com) webbläsarkapare |
| Kategori | Webbläsarkapare, omdirigeringsvirus, Mac annonsprogram |
| IP | 151.139.128.10, 13.32.255.71, 204.11.56.48 |
| Relaterade domäner | searchmarquis.com, hut.brdtxhea.xyz, mybrowser-search.com |
| Detektering | Avast: MacOS:MaxOfferDeal-I [Adw], BitDefender: Adware.MAC.Genieo.WS, ESET: A Variant Of OSX/Adware.MaxOfferDeal.N, McAfee: RDN/Generic.osx, Microsoft: Trojan:Win32/Bitrep.A, Sophos: Generic PUA PB (PUA), Symantec: OSX.Trojan.Gen |
| Symtom | Omdirigerar webbläsaren till SearchBaron.com och Bing.com, lägger till sponsrat innehåll i sökresultat, segar ner systemet |
| Distribution | Freeware-samlingar, torrenter, försåtsminerade programuppdateringar, vilseledande popup-annonser, spam |
| Allvarlighetsnivå | Medium |
| Skada | Oönskade ändringar av anpassade webbläsningsinställningar, sekretessproblem på grund av aktivitetsspårning på Internet, omdirigering av sökningar, överflödiga annonser |
| Borttagning | Skanna din Mac med Combo Cleaner för att upptäcka filer relaterade till webbläsarkapare. Använd verktyget för att ta bort infektionen om den upptäcks. |
Av alla bedrägliga aktiviteter som hemsöker Mac är webbläsarkapning en av de mest störande incidenterna. Det resulterar i webbsurfningspreferenser som plötsligt försvinner från användarens kontroll, vilket innebär tvångsmässig vidarebefordran av trafiken till oönskade webbplatser. Även om denna typ av en attack inte kategoriseras som svår är det enormt irriterande och kräver en grundlig sanering. Få infektioner från detta kluster når någonsin de distributionshöjder som det nyligen upptäckta Search Baron-viruset kan skryta med. Det har infiltrerat många Mac-datorer under de senaste dagarna och orsakade en del rabalder i säkerhetsforum. Plågan manifesterar sig genom att ta över de anpassade Internetnavigeringsinställningarna för att omdirigera offrets webbtrafik. När den drabbade användaren försöker besöka en slumpmässig webbplats vidarebefordras den till searchbaron.com, och sedan vidare till bing.com.
Vid första anblick verkar logiken i denna attack inte vettig. Varför ge en Mac-användares online-preferenser en översyn och sedan skicka dem till Bing, en legitim sökmotor? Motiven för denna skumma kampanjs upphovsmän är mer subtila än det först kan tyckas. Varje gång omdirigeringen sker följer det en komplex slinga som involverar mellanmänsdomäner, såsom den välkänt bedrägliga searchnewworld.com webbplatsen, eller sidor som ligger på AWS (Amazon Web Services) plattformen. Ett ofta rapporterat exempel på det senare är searchroute-1560352588.us-west-2.elb.amazonaws.com. Förresten är användningen av välrenommerade molnnätverk för parkering av skumma webbresurser ett sätt för cyberbrottslingar att undvika svartlistning. Dessa webbplatser visas inte synbart i webbläsaren under tiden, men tekniskt sett besöks de som en del av omdirigeringen.
En extra bieffekt av webbläsarkapningsvågen med Search Baron är att nya skadliga domäner läggs till användarens genre efterhand. Ett av exemplen på aktiv rotation är hut.brdtxhea.xyz URL. Mer specifikt är hela strängen hut.brdtxhea.xyz/api/rolbng/ffind. Ett annat skifte som ägde rum nästan ett år efter att kampanjen ursprungligen exploderade på nätet är att utbudet av sidofrämjade siter har kompletterats med mybrowser-search.com. Detta är en tramstjänst som bygger på anpassade sökresultat från en annan sökmotor utan att bidra med något egentligt värde i sig självt. Arkitekterna av detta övergripande system har byggt ett komplext nätverk av tvivelaktiga resurser som fortsätter att expandera. Gärningsmännen driver därmed trafik till specifika sidor samtidigt som det ser ut som den enda inladdade webbplatsen är bing.com. Det här tricket är inte nytt, men det fortsätter att gynna den skumma affärsmodellen som baseras på kapning av trafik för intäktsgenerering.
Search Barons webbläsarkapning är så irriterande att det döljer en annan oönskad effekt av den underliggande skadliga appen. När det körs på en Mac håller viruset dessutom koll på offrets online-aktiviteter. Det övervakar i tysthet vilka webbplatser som besöks och vilka sökfrågor som anges. Utöver det kan infektionen fokusera på känsliga detaljer som användarna uppger när de loggar in på sina personliga webbkonton, inklusive internetbanken, e-post och molntjänster. Genom att sammanställa alla dessa detaljer kan cyberbrottslingarna bakom Search Baron skapa en detaljerad profil för det intet ont anande offret och missbruka denna information för att genomföra identitetsstöld och trovärdiga nätfiskeangrepp. Chansen är stor att denna data kommer att säljas vidare till andra bedrägliga aktörer, såsom tvivelaktiga annonsörer eller högprofilerade hackergrupper.
Den gemensamma ingångspunkten för Search Baron virusintrång är paketering. Detta är en långvarig bluff som lurar människor att installera skadliga program. Vissa iögonfallande, och vanligtvis kostnadsfria, appar som marknadsförs på olika ocertifierade mjukvaruportaler är kärnan i detta system, vilket gör att användarna tror att de har tur som får ett sådant juste verktyg utan extra kostnad. Installationsprogrammet kan dock visa sig ha en del extra föremål under huven, även om det vanligtvis inte finns några omnämnanden om detta faktum. Därför klickar det kommande offret sig igenom installationsguidens fönster, bara för att dessutom installera potentiellt oönskade program. Mac-användare måste tillslut lära sig läxan: Välj bort standardläget när du installerar freeware och kontrollera förekomsten av ovälkomna kompletterande objekt. Att läsa det finstilta kan ibland verkligen löna sig.
När det är igång på en Mac lägger Search Baron-viruset till sig självt permanent under Startobjekt. Det förändrar också inställningarna för administratörens standardwebbläsare, vilket resulterar i att sökleverantören och startsidan ändras till searchbaron.com. Ibland har webbplatsadressen en svans som hänvisar till en specifik underannonseringskampanj. Strängen kan till exempel vara något i stil med searchbaron.com/v1/hostedsearch. De ofördelaktigt uppdaterade inställningarna i Safari, Chrome eller Firefox kommer upprepade gånger träda i kraft varje gång offret manuellt försöker välja rätt tjänster, eftersom det finns en skadlig plugin konfigurerad för att göra dessa oönskade ändringar om och om igen. En ytterligare permanent effekt är att infektionen lägger till en ny administrativ profil listad under Systeminställningar. Denna tvivelaktiga företeelse hindrar saneringsprocessen genom att förstärka specifikt beteende hos den drabbade webbläsaren, inklusive dess standardinställningar. Det innebär att reparationen är en fråga om att ta bort Search Baron-viruset korrekt, inklusive dess komponenter avsedda för behörighetseskalering och kvardröjningseffekter på Mac, och sedan återanpassa den drabbade webbläsaren. Genomgångarna nedan beskriver vad som behöver göras.
Search Baron-virus manuell borttagning för Mac
Nedanstående steg hjälper dig genom borttagningen av den här skadliga applikationen. Se till att följa instruktionerna i ordning.
- Öppna Gå-menyn i Finder-raden och välj Verktygsprogram som bilden visar.
- Sök upp ikonen Aktivitetskontroll på Verktygsprogram-skärmen och dubbelklicka på den.
- I Aktivitetskontrollen söker du upp en process som verkar misstänkt. För att förenkla sökningen fokuserar du på obekanta resurskrävande objekt i listan. Tänk på att namnet inte nödvändigtvis behöver vara relaterat till sättet det menar beter sig på så du behöver lita på ditt eget omdöme. Om du preciserar brottslingen väljer du den och klickar på ikonen Stäng av i det övre vänstra hörnet av skärmen.
- När en uppföljningsdialog öppnas och frågar om du är säker på att du vill avsluta den problemskapande processen väljer du alternativet Tvångsavsluta.
- Klicka på menyikonen Gå i Finder igen och välj Gå till mapp. Du kan även använda skrivbordsgenvägen Command-Shift-G.
- Skriv in /Bibliotek/LanchAgents i mappens sökdialog och klicka på knappen Gå.
- Undersök innehållet i mappen LaunchAgents efter misstänka objekt. Tänk på att filer utsatta för skadlig kod kan ge oklara ledtrådar att de är skadliga, så du behöver söka efter nyligen tillagda objekt som verkar skilja sig från normen.
Som en illustration visas här flera exempel på LaunchAgents relaterade till vanliga Mac-infektioner: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, och com.msp.agent.plist. Om du hittar filer som inte tillhör listan, gå vidare och dra dem till Papperskorgen.
- Använd sökfunktionen Gå till mappen igen för att navigera till mappen ~/Bibliotek/Application Support (observera tilde-symbolen som inleder sökvägen).
- När katalogen Application Support öppnas identifierar du nyligen genererade misstänkta mappar i den och skickar den till Papperskorgen. Ett snabbtips är att leta objekt vars namn inte har något med Apple-produkter eller appar du nyligen installerat att göra. Några exempel på kända misstänkta mappnamn är IdeaShared, ForwardOpen och ExtraBrowser.
- Ange strängen ~/Bibliotek/LaunchAgents (glöm inte att ta med tilde-tecknet) i sökfältet Gå till mappen.
- Systemet visar LaunchAgents i den aktuella användarens Hemkatalog. Leta efter skumma objekt relaterade till viruset Search Baron (se logiken som markeras i underavsnitten ovan) och dra de misstänkta till Papperskorgen.
- Skriv in /Bibliotek/LaunchDaemons sökfältet i Gå till mappen.
- I sökvägen LaunchDaemons försöker du hitta filerna som den skadliga koden använde för att överleva. Några exempel på sådan objekt utsatta för Mac-infektioner är com.pplauncher.plist, com.startup.plist, och com.ExpertModuleSearchDaemon.plist. Radera de fula filerna omedelbart.
- Klicka på menyikonen Gå i din Mac:s Finder och välj Program i listan.
- Hitta ingången för en app som tydligt inte borde vara där och flytta den till Papperskorgen. Om den här åtgärden kräver ditt admin-lösenord för bekräftelse skriver du in det.
- Expandera menyn Apple och välj Systeminställningar.
- Fortsätt till Användare och grupper och klicka på fliken Startobjekt.Systemet visar listan på objekt som öppnas när datorn startar upp. Hitta den potentiellt oönskade appen där och klicka på knappen ”-” (minus).
- Välj sedan Profiler i Systempreferenser. Leta efter misstänkta objekt i det vänstra sidofältet. Flera exempel på konfigurationsfiler skapade av Mac adware är TechSignalSearch, MainSearchPlatform, AdminPrefs, och Chrome Settings. Välj den oönskade profilen och klicka på minustecknet längst ner för att ta bort den.
Om din Mac har infiltrerats av skadlig kod kommer infektionen sannolikt att fortsätta behålla kontrollen över din standardwebbläsare även efter att du tagit bort den underliggande applikationen tillsammans med dess komponenter som finns utspridda i systemet. Följ instruktionerna för rensning av webbläsare nedan för att åtgärda de återstående konsekvenserna av den här attacken.
Systemet visar listan på objekt som öppnas när datorn startar upp. Hitta den potentiellt oönskade appen där och klicka på knappen ”-” (minus).
Bli av med Search Baron i webbläsare på Mac
Till att börja med behöver webbläsarinställningar som tagits över av Search Baron-viruset återställas till sina ursprungliga värden. Även om detta rensar de flesta av dina anpassade inställningar, som webbhistorik och alla tillfälliga data som lagras av webbplatser, kommer den skadliga koden också tas elimineras. Följ nedanstående steg för att slutföra den här processen:
- Avlägsna Search Baron-viruset från Safari
- Öppna webbläsaren och gå till Safari-menyn. Välj Inställningar i rullgardingsmenyn.
- I fönstret Inställningar väljer du fliken Avancerat och markerar alternativet ”Visa utvecklarmenyn i menyraden”.
- Nu har menyobjektet Utvecklare lagts till i Safari-menyn. Öppna den och klicka på Töm cachar.
- Välj Historik i Safari-menyn och klicka på Rensa historik... i rullgardinsmenyn.
- Safari visar en dialog som ber dig specificera tiden som den här åtgärden ska tillämpas på. Välj all historik för att åstadkomma bäst effekt. Klicka på knappen Rensa historik för att bekräfta och avsluta.
- Gå tillbaka till menyn Inställningar och klicka på fliken Integritet längst upp. Hitta alternativet som säger Hantera webbplatsdata och klicka på det.
- Webbläsaren visar följande fönster där webbplatser som har lagrat data om dina internetaktiviteter visas. Fönstret innehåller en kort beskrivning av vad borttagningen gör: du kan loggas ut från vissa tjänster och förvänta dig andra ändringar av webbplatsens beteende efter proceduren. Om du är okej med det fortsätter du genom att klicka på knappen Ta bort alla.
- Starta om Safari.
- Öppna webbläsaren och gå till Safari-menyn. Välj Inställningar i rullgardingsmenyn.
- Ta bort Search Baron från Google Chrome
- Öppna Chrome, klicka på Inställnings-ikonen för Google Chrome (⁝) längst upp till höger i fönstret, och välj Inställningar i rullgardingsmenyn.
- När panelen öppnats väljer du Avancerat.
- Bläddra ner till avsnittet Återställ inställningarna.
- Bekräfta återställningen av Chrome i ett popup-fönster som visas. När proceduren är slutförd startar du om webbläsaren och letar efter aktivitet med skadlig kod.
- Öppna Chrome, klicka på Inställnings-ikonen för Google Chrome (⁝) längst upp till höger i fönstret, och välj Inställningar i rullgardingsmenyn.
- Ta bort Search Baron från Mozilla Firefox
- Öppna Firefox och gå till Hjälp – Felsökningsinformation (eller skriv in about:support i URL-fältet och tryck Enter).
- När fönstret Felsökningsinformation öppnas klickar du på knappen Återställ Firefox...
- Bekräfta och starta om Firefox.
- Öppna Firefox och gå till Hjälp – Felsökningsinformation (eller skriv in about:support i URL-fältet och tryck Enter).
Bli av med Search Baron-virus genom att använda Combo Cleaners automatiska borttagningsverktyg
Mac-programmet för underhåll och säkerhet som kallas Combo Cleaner är verktyg för att upptäcka och ta bort Search Baron-virus. Den här tekniken har stora fördelar jämfört med manuell rensning eftersom verktyget får virusdefinitionsuppdateringar varje timme och kan snabbt hitta även de senaste Mac-infektionerna.
Dessutom kommer den automatiska lösningen hitta kärnfilerna för den skadliga programvaran djupt ned i systemstrukturen, vilket annars kan vara en utmaning. Här är en beskrivning av hur du löser problemet med Safe Finder med hjälp av Combo Cleaner:
- Ladda ner Combo Cleaner Installer. När du är klar dubbelklickar du på filen combocleaner.dmg och följer uppmaningarna för att installera verktyget på din Mac.
Genom att ladda ner alla program som rekommenderas på den här webbplatsen godkänner du våra villkor och vår sekretesspolicy. Den kostnadsfria skannern kontrollerar om din Mac är infekterad. För att bli av med skadlig programvara måste du köpa Premium-versionen av Combo Cleaner.
- Öppna appen från din Launchpad och låt den köra uppdateringen av signaturdatabasen för skadlig programvara för att se till att den kan identifiera de senaste hoten.
- Klicka på knappen Starta Combo Scan för att kontrollera om det finns skadliga aktiviteter på din Mac eller prestandaproblem.
- Undersök skanningsresultaten. Om det står ”No Threats” i rapporten är du på rätt spår med manuell rengöring och kan säkert fortsätta att städa upp i webbläsaren som kan fortsätta att fungera märkligt på grund av effekterna av den skadliga programvaran (se anvisningarna ovan).
- Om Combo Cleaner har upptäckt skadlig kod klickar du på knappen Remove Selected Items och verktyget tar bort hot från Search Baron tillsammans med andra virus, PUP:er (potentiellt oönskade program) eller skräpfiler som inte tillhör din Mac.
- När du har försäkrat dig om att den skadliga appen har avinstallerats kan det hända att felsökningen på webbläsarnivå fortfarande finns på att göra-listan. Om din webbläsare påverkas kan du använda föregående avsnitt i den här vägledningen för att återgå till problemfri webbsurfning.
FAQ
Den avgörande förutsättningen för att stoppa Search Baron-omdirigeringar i en webbläsare är att göra sig av med den skadliga appen som orsakar denna aktivitet till att börja med. I annat fall, även om du noggrant rensar upp Safari, Chrome, eller Firefox (beroende på vilken som påverkas), så kommer kapningen att fortsätta inträffa eftersom den skadliga programvaran fortfarande är kvar och utlöser dess suspekta kommandon för att återinstallera den oseriösa webbläsarepluginen.
Eftersom denna infektion är förberedd på att förhindra normala avinstalleringsförsök är det första på din att-göra-lista att avsluta dess process i Aktivitetskontrollen. Det är inte nödvändigtvis listat med det verkliga namnet Search Baron, utan du bör leta efter en suspekt exekverbar app med ett okänt användar-ID bredvid den. Hög CPU-förbrukning är också en vanlig varningsflagga.
När du tvångsavslutat den skadliga processen, gå till mappen Program och hitta Search Baron (eller SearchBaron) där. Skicka det till papperskorgen utan att tveka. Sedan öppnar du Startobjektsfönstret under Systeminställningar/ Användare och grupper och subtraherar den oseriösa posten för att förhindra att den aktiveras vid uppstart.
När du nu har tagit bort adwareprogrammet, fortsätt då med att fixa webbläsaren som krånglar. Det mest pålitliga sättet är att återställa fabriksinställningarna (se instruktionerna i guiden ovan). Nackdelen med denna teknik är att du måste gå igenom en något långrandig process för att återanpassa webbläsaren efteråt. För att bespara dig själv besväret att ställa in alla personliga inställningar igen efter återställningen, överväg att inaktivera Search Baron-tillägget först och se om detta åtgärdar problemet. Om det gör det är du redo att köra på. Om omdirigeringarna fortfarande inträffar är fabriksåterställningen ditt enda alternativ.
Det beror på vilken typ av skadlig kod som infekterat din MacBook. För adware-scenarier som Search Baron-attacken är en kombination av tvångsavinstallering av den skadliga appen och återställande av den drabbade webbläsaren lösningen. Tänk på att, till skillnad från vanlig programvara, tenderar sådana här POA:s (potentiellt oönskade applikationer) vara envisa och att endast ta bort dem från mappen Program kanske inte räcker.
För att komma runt denna kvardröjsamhet bör avslutandet av den oönskade processen under Aktivitetskontroll vara ditt första drag. Ta sedan bort den skadliga posten från Program och Startobjekt. Avslutningsvis, släng respektive webbläsartillägg i papperskorgen. Men i många fall är detta tyvärr meningslöst och du måste återställa webbläsaren till fabriksinställningarna.
Ibland bör du dessutom undersöka följande kataloger för dolda filer med skadlig kod: /Bibliotek/LaunchAgents, ~/Bibliotek/LaunchAgents, /Bibliotek/LaunchDaemons, och /Bibliotek/Application Support. De skadliga objekten kommer att se ut som com.MCP.agent.plist eller liknande, med namnet på infektionen (eller dess akronym) som en del av posten. Detta extra steg krävs ofta i situationer där ett skrämselprogram slår ut en dator och visar falska varningar för att övertyga dig om att köpa dess licens.
Om du upplever symptom av skadlig kod på din MacBook, men inte kan hitta alla komponenter i det förhatliga programmet, då kan det vara en bra idé att använda ett välrenommerat säkerhetsverktyg som automatiskt identifierar och utrotar hotet.
För att avhjälpa Safari-webbläsare som påverkas av Search Baron-virus, försök att spåra och ta bort tillhörande tillägg till att börja med. Klicka på Safari-menyikonen och välj "Inställningar" i rullgardinsmenyn. Tryck på fliken "Tillägg" i detta fönster och leta efter det bedrägliga hjälpobjektet som heter Search Baron. Observera att namnet kan vara annorlunda, så du bör leta efter ett objekt som du inte kommer ihåg att du lagt till i Safari. När du hittat det gå vidare och ta bort problemobjektet. Starta om webbläsaren och kontrollera om den visar symptom på kapning.
Om omdirigeringar till searchbaron.com, och sedan till bing.com, fortfarande inträffar bör du trappa upp dina ansträngningar ett snäpp och fabriksinställa webbläsaren. Här är genomgången du behöver följa:
- Gå till Safaris "Inställningar" och välj fliken "Avancerat". Slå på följande alternativ: "Visa utvecklarmeny i menyraden" Slå på följande alternativ: "Visa utvecklarmeny i menyraden"
- Ett nytt objekt som heter "Utvecklare" visas i Safaris menyrad. Klicka på den och välj "Töm cachar"
- Kontrollera om Search Baron-problemet har åtgärdats. Om det inte har det, gå till historik i Safaris menyrad och klicka på "Rensa historik"
- Välj "all historik" i dialogrutan som dyker upp och tryck på "Rensa historik"-knappen igen
- Om problemet fortfarande finns kvar, gå till "Inställningar" igen och klicka på fliken "Integritet". Fortsätt till det alternativ som säger "Hantera webbplatsdata". Klicka på "Ta bort alla" och sedan på "Klar"-knappen
- Starta om Safari.
Tänk på att detta endast kommer att ta itu med Search Baron-kaparattacken om du har tagit bort det potentiellt oönskade programmet i förväg. Se handledningen ovan och tidigare svar för att lära dig alla relevanta hur-man-gör-stegen.
Om Google Chrome upprepade gånger vidarebefordrar trafiken till SearchBaron.com betyder det att ett bedrägligt tillägg har smygits in i webbläsaren. Därför är lösningens logik att hitta och eliminera denna företeelse. Innan du fortsätter, se till att ta itu med orsaken till kapningen genom att ta bort den egentliga skadliga programvaran från din Mac, annars kommer det bedrägliga tillägget snabbt installeras igen.
För att lösa problemet i Chrome, försök att bli av med Search Baron-tillägget först. Här är proceduren:
- Klicka på "Anpassa och kontrollera Google Chrome"-ikonen och välj "Fler verktyg" – "Tillägg"
- I fönstret "Tillägg" letar du efter SearchBaron eller en annan suspekt post som inte hör hemma där
- Stäng av det och klicka på "Ta bort"
- Starta om Chrome.
Kontrollera om omdirigeringsproblemet har åtgärdats. Om det inte är det måste du återställa Chrome till dess ursprungliga standardinställningar. Detta kommer att ta bort dina personliga inställningar, men jämfört med SearchBaron-vansinnet är detta det bästa av två onda ting. Genomför följande steg för att göra det:
- Klicka på ikonen "Anpassa och kontrollera Google Chrome" och välj "Inställningar"
- Välj alternativet "Avancerat" och rulla ner till underavsnittet "Återställ inställningarna"
- Välj "Återställ inställningarna till standardinställningarna"
- Klicka på knappen "Återställ inställningarna" i den dialogruta som visas
- Starta om webbläsaren Chrome. Problemet borde inte visa sig längre.
