Search Marquis virus Mac är en ny karaktär för falsk omriktning till Bing, som kapar ett offers webbläsare och orsakar störande omriktningar om den inte tas bort.
Uppdatering: april 2024
| Hotprofil | |
|---|---|
| Namn | Search Marquis (searchmarquis.com) webbläsarkapare |
| Kategori | Mac adware, omriktningsvirus, PUA |
| IP-addres | 54.230.89.106 |
| Relaterade domäner | searchmarquis.com, searchbaron.com, searchnewworld.com, mybrowser-search.com |
| Symtom | Riktar om webbläsare till Bing via searchmarquis.com, lägger till sponsrad innehåll i sökresultat, orsakar långsammare system, står emot vanlig borttagning |
| Distributionstekniker | Falska popup-fönster om Adobe Flash Player-uppdateringar, malware-paket, spam |
| Allvarlighetsnivå | Medium |
| Skada | Oönskade ändringar i webbläsarinställningar, sekretessproblem på grund av aktivitetsspårning på nätet, vidarebefordring vid sökning, annonser |
| Borttagning | Skanna din Mac med Combo Cleaner för att upptäcka filer relaterade till webbläsarkapare. Använd verktyget för att avlägsna upptäckta infektioner. |
Ett cyberkriminellt gäng är i farten som är på väg att bli ett stort bekymmer för hela Mac-communityt. Även om de här busarna inte förstör system eller sprider förödelse genom girig krypto-brytning bakom offrets rygg, är den illvilliga koden de har skapat oerhört motbjudande och utomordentligt svår att avlägsna från drabbade Mac-maskiner. Fokus för all fishing ligger på webbsurfsidan av datoranvändningen. Genom att smyga in lömska appar och insticksprogram i MacOS-systemen utan admins samtycke, får skaparna av den skadliga koden webbläsare att rikta om trafiken till platser som searchmarquis.com. Vad är då Search Marquis? Det är en manifestation av viruset som får användarens webbläsarinställningar att åsidosättas och i stället marknadsförs den egna landningssidan. Från landningssidan tvingas användaren till Bing.com via en surfväg genom ett antal mellanliggande domäner, såsom Search Baron (searchbaron.com), innan man till slut når slutmålet.
Search Marquis-viruset slingrar sig in i en Mac med hjälp av en klurig lösning för programvarupaket som kallas bundling. Den här tekniken samarbetar med flera applikationer under täckmantel av en som är godkänd och vanligtvis kostnadsfri. Även om det i sig är tillåtet, ger mekanismen angripare möjlighet att skjuta in sina skadliga program utan att informera det tilltänkta offret. Om inte standardläget är avmarkerat och det anpassade alternativet väljs på installationsklienten, kommer sabotageprogrammet att ta sig in på Mac:en tillsammans medett objekt som användaren medvetet installerar. Det resulterar i att viruset får alla privilegier det behöver och offret är omedvetet om att de här tillstånden beviljas. Från det ögonblicket börjar infektionen i Search Marquis dominera alla platser man surfar på på måldatorn utan att administratören kan återgå till den normala inställningen på ett vanligt sätt.
Som tidigare nämndes nollas det här viruset in i webbläsare det upptäcker på den drabbade Mac:en. Det stöder Safari, Chrome och Firefox – förutsatt att dessa lösningar finns, kommer effekten att märkas i nästan alla attackscenarier. Det skurkaktiga hjälpobjektet som införlivats i offrets föredragna webbläsare ändrar direkt hemsidan, söksidan och inställningarna för ny flik till sin egen fördel. Det ersätter dessa värden med searchmarquis.com så att den drabbade användaren besöker den oönskade sidan om och om igen. Det irriterande objektet tenderar dessutom att manipulera DNS-serverns inställningar för extra uthållighet. Den här manipulationen leder till att pseudosökmotorn ständigt väljs istället för den önskade. För att stärka greppet skapar boven en slumpmässig inställningsprofil under systeminställningar som styr över de riktade webbläsarinställningarna.
Utöver det verkar searchmarquis.com vara ett primitivt instrument för söktjänster med en sökruta och ett fåtal länkar som leder till EULA:s sekretesspolicy, och Kontakta oss-sidan. Oavsett vilka nyckelord som anges kommer den enkla tjänsten återgå till Bing.com. Navigationsvägen innehåller dessutom ett antal URL:er som offret bara hinner se under knappt en sekund. De här övergångsobjekten omfattar annonsnätverk där varje sådan iögonfallande träff kommer att räknas som ett unikt besök och därigenom generera vinst för operatörerna av bluffen. Allteftersom den här skadliga kampanjen utvecklas läggs nya mellan-och destinationssidor till i den onda blandningen. Några exempel är searchnewworld.com och mybrowser-search.com. Båda returnerar anpassade sökresultat som drivs av en legitim tjänst, så bluffen fortsätter att gå i samma riktning och kombinerar tydligt skadlig aktivitet med godartade element. Skugglogiken är ovärderlig: adware kapar en webbläsare, omdirigerar den till en värdelös leverantör utan egna sökalgoritmer under huven, och sedan når trafiken en Bing-styrd söksida. Det om Search Marquis-virusets dumheter. Hur fixar man det? Det enda sättet att uppmärksamma problemet är att hitta och radera alla element i den störande appen. Läs de uppföljande avsnitten för att ta reda på hur det görs.
Search Marquis-virus manuell borttagning för Mac
Nedanstående steg hjälper dig genom borttagningen av den här skadliga applikationen. Se till att följa instruktionerna i ordning.
- Öppna Gå-menyn i Finder-raden och välj Verktygsprogram som bilden visar.
- Sök upp ikonen Aktivitetskontroll på Verktygsprogram-skärmen och dubbelklicka på den.
- I Aktivitetskontrollen söker du upp en process som verkar misstänkt. För att förenkla sökningen fokuserar du på obekanta resurskrävande objekt i listan. Tänk på att namnet inte nödvändigtvis behöver vara relaterat till sättet det menar beter sig på så du behöver lita på ditt eget omdöme. Om du preciserar brottslingen väljer du den och klickar på ikonen Stäng av i det övre vänstra hörnet av skärmen.
- När en uppföljningsdialog öppnas och frågar om du är säker på att du vill avsluta den problemskapande processen väljer du alternativet Tvångsavsluta.
- Klicka på menyikonen Gå i Finder igen och välj Gå till mapp. Du kan även använda skrivbordsgenvägen Command-Shift-G.
- Skriv in /Bibliotek/LanchAgents i mappens sökdialog och klicka på knappen Gå.
- Undersök innehållet i mappen LaunchAgents efter misstänka objekt. Tänk på att filer utsatta för skadlig kod kan ge oklara ledtrådar att de är skadliga, så du behöver söka efter nyligen tillagda objekt som verkar skilja sig från normen.
Som en illustration visas här flera exempel på LaunchAgents relaterade till vanliga Mac-infektioner: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, och com.msp.agent.plist. Om du hittar filer som inte tillhör listan, gå vidare och dra dem till Papperskorgen.
- Använd sökfunktionen Gå till mappen igen för att navigera till mappen ~/Bibliotek/Application Support (observera tilde-symbolen som inleder sökvägen).
- När katalogen Application Support öppnas identifierar du nyligen genererade misstänkta mappar i den och skickar den till Papperskorgen. Ett snabbtips är att leta objekt vars namn inte har något med Apple-produkter eller appar du nyligen installerat att göra. Några exempel på kända misstänkta mappnamn är IdeaShared, ForwardOpen och ExtraBrowser.
- Ange strängen ~/Bibliotek/LaunchAgents (glöm inte att ta med tilde-tecknet) i sökfältet Gå till mappen.
- Systemet visar LaunchAgents i den aktuella användarens Hemkatalog. Leta efter skumma objekt relaterade till viruset Search Marquis (se logiken som markeras i underavsnitten ovan) och dra de misstänkta till Papperskorgen.
- Skriv in /Bibliotek/LaunchDaemons sökfältet i Gå till mappen.
- I sökvägen LaunchDaemons försöker du hitta filerna som den skadliga koden använde för att överleva. Några exempel på sådan objekt utsatta för Mac-infektioner är com.pplauncher.plist, com.startup.plist, och com.ExpertModuleSearchDaemon.plist. Radera de fula filerna omedelbart.
- Klicka på menyikonen Gå i din Mac:s Finder och välj Program i listan.
- Hitta ingången för en app som tydligt inte borde vara där och flytta den till Papperskorgen. Om den här åtgärden kräver ditt admin-lösenord för bekräftelse skriver du in det.
- Expandera menyn Apple och välj Systeminställningar.
- Fortsätt till Användare och grupper och klicka på fliken Startobjekt.
Systemet visar listan på objekt som öppnas när datorn startar upp. Hitta den potentiellt oönskade appen där och klicka på knappen ”-” (minus). - Välj sedan Profiler i Systempreferenser. Leta efter misstänkta objekt i det vänstra sidofältet. Flera exempel på konfigurationsfiler skapade av Mac adware är TechSignalSearch, MainSearchPlatform, AdminPrefs, och Chrome Settings. Välj den oönskade profilen och klicka på minustecknet längst ner för att ta bort den.
Om din Mac har infiltrerats av skadlig kod kommer infektionen sannolikt att fortsätta behålla kontrollen över din standardwebbläsare även efter att du tagit bort den underliggande applikationen tillsammans med dess komponenter som finns utspridda i systemet. Följ instruktionerna för rensning av webbläsare nedan för att åtgärda de återstående konsekvenserna av den här attacken.
Bli av med Search Marquis i webbläsare på Mac
Till att börja med behöver webbläsarinställningar som tagits över av Search Marquis-viruset återställas till sina ursprungliga värden. Även om detta rensar de flesta av dina anpassade inställningar, som webbhistorik och alla tillfälliga data som lagras av webbplatser, kommer den skadliga koden också tas elimineras. Följ nedanstående steg för att slutföra den här processen:
- Avlägsna Search Marquis-viruset från Safari
- Öppna webbläsaren och gå till Safari-menyn. Välj Inställningar i rullgardingsmenyn.
- I fönstret Inställningar väljer du fliken Avancerat och markerar alternativet ”Visa utvecklarmenyn i menyraden”.
- Nu har menyobjektet Utvecklare lagts till i Safari-menyn. Öppna den och klicka på Töm cachar.
- Välj Historik i Safari-menyn och klicka på Rensa historik... i rullgardinsmenyn.
- Safari visar en dialog som ber dig specificera tiden som den här åtgärden ska tillämpas på. Välj all historik för att åstadkomma bäst effekt. Klicka på knappen Rensa historik för att bekräfta och avsluta.
- Gå tillbaka till menyn Inställningar och klicka på fliken Integritet längst upp. Hitta alternativet som säger Hantera webbplatsdata och klicka på det.
- Webbläsaren visar följande fönster där webbplatser som har lagrat data om dina internetaktiviteter visas. Fönstret innehåller en kort beskrivning av vad borttagningen gör: du kan loggas ut från vissa tjänster och förvänta dig andra ändringar av webbplatsens beteende efter proceduren. Om du är okej med det fortsätter du genom att klicka på knappen Ta bort alla.
- Starta om Safari.
- Öppna webbläsaren och gå till Safari-menyn. Välj Inställningar i rullgardingsmenyn.
- Ta bort Search Marquis från Google Chrome
- Öppna Chrome, klicka på Inställnings-ikonen för Google Chrome (⁝) längst upp till höger i fönstret, och välj Inställningar i rullgardingsmenyn.
- När panelen öppnats väljer du Avancerat.
- Bläddra ner till avsnittet Återställ inställningarna.
- Bekräfta återställningen av Chrome i ett popup-fönster som visas. När proceduren är slutförd startar du om webbläsaren och letar efter aktivitet med skadlig kod.
- Öppna Chrome, klicka på Inställnings-ikonen för Google Chrome (⁝) längst upp till höger i fönstret, och välj Inställningar i rullgardingsmenyn.
- Ta bort Search Marquis från Mozilla Firefox
- Öppna Firefox och gå till Hjälp – Felsökningsinformation (eller skriv in about:support i URL-fältet och tryck Enter).
- När fönstret Felsökningsinformation öppnas klickar du på knappen Återställ Firefox...
- Bekräfta och starta om Firefox.
- Öppna Firefox och gå till Hjälp – Felsökningsinformation (eller skriv in about:support i URL-fältet och tryck Enter).
Bli av med Search Marquis-virus genom att använda Combo Cleaners automatiska borttagningsverktyg
Mac-programmet för underhåll och säkerhet som kallas Combo Cleaner är verktyg för att upptäcka och ta bort Search Marquis-virus. Den här tekniken har stora fördelar jämfört med manuell rensning eftersom verktyget får virusdefinitionsuppdateringar varje timme och kan snabbt hitta även de senaste Mac-infektionerna.
Dessutom kommer den automatiska lösningen hitta kärnfilerna för den skadliga programvaran djupt ned i systemstrukturen, vilket annars kan vara en utmaning. Här är en beskrivning av hur du löser problemet med Safe Finder med hjälp av Combo Cleaner:
- Ladda ner Combo Cleaner Installer. När du är klar dubbelklickar du på filen combocleaner.dmg och följer uppmaningarna för att installera verktyget på din Mac.
Genom att ladda ner alla program som rekommenderas på den här webbplatsen godkänner du våra villkor och vår sekretesspolicy. Den kostnadsfria skannern kontrollerar om din Mac är infekterad. För att bli av med skadlig programvara måste du köpa Premium-versionen av Combo Cleaner.
- Öppna appen från din Launchpad och låt den köra uppdateringen av signaturdatabasen för skadlig programvara för att se till att den kan identifiera de senaste hoten.
- Klicka på knappen Starta Combo Scan för att kontrollera om det finns skadliga aktiviteter på din Mac eller prestandaproblem.
- Undersök skanningsresultaten. Om det står ”No Threats” i rapporten är du på rätt spår med manuell rengöring och kan säkert fortsätta att städa upp i webbläsaren som kan fortsätta att fungera märkligt på grund av effekterna av den skadliga programvaran (se anvisningarna ovan).
- Om Combo Cleaner har upptäckt skadlig kod klickar du på knappen Remove Selected Items och verktyget tar bort hot från Search Marquis tillsammans med andra virus, PUP:er (potentiellt oönskade program) eller skräpfiler som inte tillhör din Mac.
- När du har försäkrat dig om att den skadliga appen har avinstallerats kan det hända att felsökningen på webbläsarnivå fortfarande finns på att göra-listan. Om din webbläsare påverkas kan du använda föregående avsnitt i den här vägledningen för att återgå till problemfri webbsurfning.
FAQ
Search Marquis är ett element i ett bredsvepande malware som attackerar Mac-datorer. Det drivs som searchmarquis.com och är förklätt som en mångsidig sökleverantör men visar sig sakna den väsentliga funktionen som borde finnas i den typen av tjänst som den försöker efterlikna. Framförallt returnerar den inga egna sökresultat. Istället svarar sidan på varje förfrågan genom att vidarebefordra användaren till bing.com.
Det här är beteendet som visas på en frisk dator, där inget av ovanstående sker om du inte medvetet besöker den bluffaktiga webbplatsen och gör några experiment. Saker blir emellertid mer komplicerade om det så kallade Bing-vidarebefordringsviruset infekterar en Mac. I det fallet vidarebefordras automatiskt Safari, Google Chrome och Mozilla Firefox till searchmarquis.com utan någon avsikt från din sida. Det beror på att en elak app tidigare tagit sig in i systemet och tagit över inställningarna för webbsurfning.
Syftet med den här skändliga störningen är att kapa och rikta om offrets internettrafik. Även om Bing spelar en roll som den slutliga fasens målsida i den här bluffen har den inget att göra med de cyberkriminella rövarna som valde den som ersättning för den saknade sökfunktionen i Search Marquis.
Första och främst kommer det inte att hända om du inte konfigurerar Safari på det här sättet eller om din Mac drabbas av en webbläsarkapare som inför oönskade sökinställningar utan tillstånd. Om det föregående scenariot inte är fallet finns alla frågor helt i malware-domänen. Den skadliga koden som sätter den här bluffen i rörelse kallas för Bing omdirigeringsvirus.
Tekniskt sett är det en potentiellt oönskad applikation (PUA) som tar sig in bakom scenen genom att ändra standardinställningarna i Safari. Sjukdomen tar sig in genom smarta programpaket såsom en falsk Flash Player-uppdatering som du råkar ladda ner genom popup-annonser på hackade webbplatser. Om den lyckats ta sig in på en Mac är det enda sättet att hantera den att identifiera och avlägsna den underliggande appen. Att åtgärda webbläsarinställningar blir nästa steg på att-göra-listan.
Borttagningen av Search Marquis är en tvåfrontsprocess. Först måste du avinstallera applikationen som ställer till problemen och som har ändrat webbläsarinställningarna samt lagt till en skadlig konfigurationsprofil som förhindrar alla rensningsförsök. För att precisera infektionen, undersök Aktivitetskontroll, Program, LaunchAgents, LaunchDeamons, Inloggningsobjekt och Profiler på din Mac. Sök efter poster som avviker från normen och skicka dem till Papperskorgen. För en bättre förståelse för hur du utför den här städningen följer du stegen listade i guiden här ovanför.
Nästa steg blir att göra sig av med de påverkade webbläsarna som denna elaka adware påverkar. Börja med att analysera tilläggsprogrammen som körs i Safari, Chrome och Firefox. Om något misstänkt dyker upp där, inaktivera och avinstallera det direkt. Infektionen kanske dock inte lämnar några misstänkta brödsmulor efter sig. I så fall är rätt lösning att återställa webbläsaren till standardinställningarna – tänk på att den proceduren i Safari är lite mer komplicerad än att enbart klicka på en ”magisk” knapp. Återigen, använd de webbläsarrelaterade instruktionerna här ovanför för att åtgärda problemet.
