瞭解去除 Mac 的 Yahoo 重定向病毒以及停止 Mac 電腦 Safari 及其他瀏覽工具的未授權經常性流量轉送。
更新: 2020年8月
| 病毒簡介 | |
|---|---|
| 名稱 | Yahoo 重定向病毒 |
| 類別 | Mac 瀏覽器綁架者、重定向病毒、PUA |
| 相關網域 | Search[random]-a.akamaihd.net、default[random]-a.akamaihd.net、lkysearchds[random]-a.akamaihd.net、search.safefinder.com、search.anysearchmanager.com、search.chill-tab.com、search.searchpulse.net、search.tapufind.com、searchmine.net |
| 症狀 | 透過第三方網站將 Mac 的瀏覽器重定向至 Yahoo、在搜尋結果加入受贊助內容、引起系統運作減慢、阻擋定期清除 |
| 分配技術 | 偽冒 Adobe Flash Player u更新彈出窗口、惡意捆綁軟體、垃圾郵件 |
| 安全級別 | Medium |
| 危險 | 中 |
| 移除 | 用 Combo Cleaner 掃描你的Mac電腦,檢測所有與瀏覽器劫持者相關的文件。倘發現感染,使用工具清除感染。 |
當一個人手中失去無障礙網路衝浪的特權,則事情會迅速變得讓人無法忍受。在這種狀況下,透過首選服務進行搜尋,或是簡單選擇啟動一個網頁瀏覽工具,都會返回一個使用者不希望看見的網站。倘出現該事項,受害者應找出在背後執行整個策略的惡意代碼。當該項進入 Mac 電腦,會有多個邊緣瀏覽工具綁架者尚未達到足夠大的發行量,但也有持續多年並已入侵數以千計的機器的大型事件。後者對 Yahoo 重定向病毒持有正確觀點,而 Yahoo 重定向病毒的感染率表明,保持合理線上衛生至關重要。這種入侵的主要症狀是,出現大量令人厭惡的網站流量重複傳輸活動,且其目標網頁為 search.yahoo.com。
就在此時,眾多讀者可能會有所疑問,為什麼上述合法搜尋工具被標記為惡意。而事實上並非如此——否則,該分類完全是一種誤解。相反,最大的問題就是一項強大的應用程式。該程式實際上是在奴役網頁瀏覽工具,並將大量網際網路常規流量轉送往 Yahoo。從獨一無二的主機收集線上流量在近期是一項極具價值的資產,因此,網路詐騙者精心設計了一項模型,並以一種惡意手段使用而獲利。問題是,在受害者被綁架而最終轉至一個有問題的網際網路巨頭,而他們透過多個中間網域傳輸的流量,實際上被計入狡猾的流量貨幣化平台。
在通用 Yahoo 搜尋工具重定向活動的廣泛保護範圍內,有數種可疑服務正在運作。這些服務的運作乃由潛在有害應用程式 (PUA) 支援,其聲稱可提高 Mac 使用者的網路衝浪體驗,而實際上是降低了。下列為這些主流廣告軟體的部分示例:Safe Finder (search.safefinder.com)、Any Search Manager (search.anysearchmanager.com)、SearchMine (searchmine.net)、Search Pulse (search.searchpulse.net)、TapuFind (search.tapufind.com) 以及 Chill Tab (search.chill-tab.com)。所有這些軟體都偽裝成轉往搜尋工具提供者的入口網頁。然而可以預見的是,沒有一個有真正專有的資訊搜尋功能,能夠以原本面貌將每一項詢問重定向至 Yahoo。在這種未授權的網際網路流量重新分配的大多數情況下,都會在到達目的地的過程中解析中間 URL。其中一個常見示例是由 lkysearchds[random digits] 或類似字串開頭的 a.akamaihd.net 網域名稱。
潛在惡意軟體已在清理行動的突擊階段開始前就潛入了 Mac 電腦。這通常是捆綁技術的結果,該捆綁技術被體面且不道德的軟體開發人員廣泛使用,以交叉推廣某些作為更大安裝包一部分的應用程式。使用者在這些日子無法閱讀設計精美的圖片,因而他們會有遇到嚴重困難。Yahoo 重定向病毒會以多種形式在安裝用戶端潛伏,以獲取看似合法的軟體更新或諸如媒體下載工具或視訊遊戲等部分有用的免費工具。例如, 人們已知偽造 Adobe Flash Player 更新彈出窗口為可散佈這種電子疾病的項目。因設定簡易而廣為人知的快速安裝選項,會在您不知情時在背後執行不可告人的操作。之後您會發現,在 Mac 的Safari、Chrome 或 Firefox 在開始啟動時表現不佳。
一旦 macOS 或 Mac OS X 系統出現汙染,重定向至 search.yahoo.com 通常根據特定模式觸發,而非偶然觸發。受害者報告他們的搜尋工具被強行由 Google 轉為 Yahoo。僅打開自己的首選瀏覽器也是造成這種困境的另一個原因。所有為相應自定義瀏覽設定定義正確 URL 作出排序的嘗試均已失敗——由於持續的惡意軟體活動,錯誤數值很快再次出現。有時預設值會是正確,而干擾在主機作業系統的另一層發生。
在持久性方面,Yahoo 重定向病毒與所有強力 Mac 廣告軟體線列保持一致。一旦在系統出現,會加入詐欺性描述檔以增強攻擊鏈。該流氓條目在「系統首選項」下的「檔案」頁面的側欄中出現。該項旨在強行執行某些不同 macOS 元件的行為,包括已安裝的瀏覽器。由此,惡意代碼可利用升級之權限運行,而且,除了惡意檔案已被清除的情況外,其影響無法逆轉。說到這一點,唯一會阻礙這樣清理階段的因素是,有問題的對象因個案而異,因而難以查明。因此,受害者應遵循自己的直覺,並找出與環境不同的檔案。獲命名為 AresLookup 的項,是 Yahoo 重定向病毒建立的檔案示例,該檔案為攻擊的一部分(見上圖)。該項會在禁用手動修改的範圍內管理瀏覽器設定。另一症狀是頻繁出現彈出式對話框,要求受害者向 AresLookup 授予網路訪問權限。選出可疑對象並按下減號圖標是成功的一半,這將最終達成清除感染的目標。
這種感染的另一層持久性,同時也是明顯跡象,是瀏覽工具新企業政策的發端。例如,大多數受害者在 Mac 的 Google Chrome 瀏覽工具下拉式選單找到顯示「管理您的組織」的訊息。這是惡意軟體活動濫用合法功能的另一種表現。在這種狀況下,修正應同步覆蓋受影響系統的多個區域,如下方清理部分所示。
Yahoo Search redirect手動刪除Mac病毒
以下列出的步驟將引導您刪除該惡意應用程式。
- 展開Mac的Finder欄中的“前往”菜單,然後選擇“工具程式”,如下所示。
- 在“工具程式”屏幕上找到“活動監視器”圖標,然後雙擊。
- 在“活動監視器”應用程式中,查找看似可疑的進程。若·縮小搜索範圍,則需關注列表上不熟悉的資源密集型條目。請記住,其名稱不一定與威脅顯現的方式相關,因此您需要相信自己的判斷。如果您查明了問題的罪魁禍首,點擊選擇,然後單擊屏幕左上角的“停止”圖標。
- 後續對話框彈出,並詢問您是否確定要結束故障排除過程時,請選擇“強制結束”選項。
- 再次單擊Finder中的“前往”菜單圖標,然後選擇“前往資料夾”。您也可以使用Command-Shift-G鍵盤快捷鍵。
- 在文件夾搜索對話框中輸入/ 資源庫 / LaunchAgents,然後單擊“前往”按鍵。
- 檢查LaunchAgents資料夾內是否有可疑的項目。請注意,由惡意軟件生成的文件名稱可能無法提供說明它們是惡意軟件的明確線索,
以下是與主流Mac感染相關的幾個LaunchAgents示例:com.pcv.hlpramc.plist、 com.updater.mcy.plist、com.avickUpd.plist 和 com.msp.agent.plist。如果發現不屬於列表的文件,請繼續將其拖至垃圾桶。
- 再次使用“前往資料夾”的查找導航功能,並在搜索字段中輸入〜/ 資源庫 / Application Support的資料夾(請注意路徑前的波浪符號)。
- 打開“Application Support”目錄時,請在其中識別最近生成的可疑資料夾,並將它們發送到“垃圾桶”。快速提示是查找名稱與您故意安裝的Apple產品或應用程式無關的項目。已知的部分惡意資料夾名稱示例有IdeaShared、ForwardOpen和ExtraBrowser。
- 在“前往資料夾” 搜索字段中輸入〜/ 資源庫 / LaunchAgents字符串(不要忘記添加波浪符號)。
- 系統將顯示當前用戶主目錄中的LaunchAgent。查找與Yahoo Search redirect病毒相關的可疑項目(請參閱上方小節中突出顯示的邏輯),然後將可疑對象拖到垃圾桶。
- 在“前往資料夾”搜索字段中鍵入/ 資源庫 / LaunchDaemons。
- 在LaunchDaemons路徑中,嘗試查明惡意軟件使用的持久性文件。部分Mac感染示例包括com.pplauncher.plist、com.startup.plist和com.ExpertModuleSearchDaemon.plist。 立即刪除可疑文件。
- 單擊Mac的Finder中的“前往”菜單圖標,然後在列表中選擇“應用程式”。
- 找到顯然不屬於該應用程式的條目,然後將其移至垃圾桶。如果此操作需要輸入管理員密碼進行確認,請繼續輸入管理員密碼。
- 展開Apple菜單,然後選擇“系統偏好設定”。
- 轉至“用戶與組群”,然後單擊“登錄項目”選項卡。
系統將顯示計算機啟動時的啟動項目列表。 在此處找到可能不需要的應用程序,然後單擊“-”(減號)按鍵。 - 現在,在“系統偏好設定置”下選擇“描述檔”。在左側邊欄中查找惡意項目。Mac廣告軟件創建的部分配置文件示例包括TechSignalSearch、MainSearchPlatform、,AdminPrefs和Chrome設定。選擇有問題的條目,然後單擊底部的減號,將其消除。
如果您的Mac已被廣告軟件滲透,那麼即使您刪除了底層應用程序及其周圍散佈的組件,感染也很可能會繼續在默認的Web瀏覽器中佔據主導地位。使用下方的瀏覽器清除說明來進一步解決此攻擊的遺留後果。
在Mac上的網絡瀏覽器中擺脫Yahoo redirect重定向
首先,應將Yahoo redirect重定向]病毒接管的Web瀏覽器設置恢復為默認值。 儘管這將清除您的大多數自定義設置,網絡瀏覽歷史記錄以及網站存儲的所有臨時數據,但惡意干擾也應同樣終止。 完成此過程的步驟概述如下:
- 從Safari移除Yahoo redirect病毒
- 打開瀏覽器,然後轉到Safari菜單。 在下拉列表中選擇首選項。
- 出現“首選項”屏幕後,單擊“高級”選項卡,然後啟用選項“在菜單欄中顯示開髮菜單”。
- 現在,“開發”條目已添加到Safari菜單中,將其展開並單擊“空緩存”。.
- 現在,在Safari菜單中選擇“歷史記錄”,然後在下拉列表中單擊“清除歷史記錄”。
- Safari將顯示一個對話框,要求您指定此操作將應用的時間。 選擇所有歷史記錄以確保發揮最大作用。 單擊清除歷史記錄按鈕以確認並退出。
- 返回Safari偏好設置,然後點擊頂部的“隱私”標籤。 找到顯示“管理網站數據”的選項,然後單擊它。
- 瀏覽器將顯示一個後續屏幕,列出存儲了有關Internet活動數據的網站。 此對話框還簡要說明了刪除操作:在執行此步驟後,您可能會退出某些服務並遇到網站行為的其他變化。 如果可以的話,請繼續並點擊全部刪除按鈕。
- 重新啟動Safari。
- 打開瀏覽器,然後轉到Safari菜單。 在下拉列表中選擇首選項。
- 從Google Chrome移除Yahoo redirect重定向
- 打開Chrome,點擊窗口右上角的自定義和控制Google Chrome圖標,然後在下拉菜單中選擇設置。
- 在“設置”窗格上時,選擇“高級”。
- 向下滾動到“重置設置”部分。
- 在彈出的對話框中確認Chrome重置。 該過程完成後,重新啟動瀏覽器並檢查其是否存在惡意軟件活動。
- 打開Chrome,點擊窗口右上角的自定義和控制Google Chrome圖標,然後在下拉菜單中選擇設置。
- 從Mozilla Firefox移除 Yahoo redirect病毒
- 打開Firefox並轉到“幫助-故障排除信息”(或在URL欄中鍵入about:support,然後按Enter)。
- 在“故障排除信息”屏幕上,單擊“刷新Firefox”按鈕。
- 確認預期的更改,然後重新啟動Firefox。
- 打開Firefox並轉到“幫助-故障排除信息”(或在URL欄中鍵入about:support,然後按Enter)。
使用Combo Cleaner自動刪除工具擺脫Yahoo Search redirect病毒
Mac維護和安全性應用程序Combo Cleaner是一站式可檢測和刪除Yahoo redirect病毒工具 。 與實用程序清除相比,此技術具有實質性優勢,因為該實用程序每小時更新一次病毒定義,甚至可以準確發現最新的Mac感染。
此外,自動解決方案將在系統結構的深處找到惡意軟件的核心文件,否則可能很難找到該文件。 這是使用Combo Cleaner解決安全查找器問題的演練:
- 下載Combo Cleaner安裝程序。 完成後,雙擊combocleaner.dmg文件,然後按照提示將工具安裝到Mac。
下載本網站上推薦的任何應用程序即表示您同意我們的條款和條件以及隱私政策。 免費的掃描儀會檢查您的Mac是否被感染。 要清除惡意軟件,您需要購買高級版本的Combo Cleaner。
- 從啟動板打開應用程序,然後讓其運行惡意軟件簽名數據庫的更新,以確保它可以識別最新的威脅。
- 單擊“開始組合掃描”按鈕,檢查Mac是否存在惡意活動以及性能問題。
- 檢查掃描結果。 如果報告中顯示“沒有威脅”,那麼您將處於手動清理的正確軌道,並且可以安全地整理網絡瀏覽器,該網絡瀏覽器由於受到惡意軟件攻擊的後果而可能繼續起作用(請參閱上面的說明 )。
- 如果Combo Cleaner檢測到惡意代碼,請單擊“刪除選定的項目”按鈕,並使該實用程序刪除Yahoo redirect威脅以及Mac上不屬於的任何其他病毒,PUP(可能有害程序)或垃圾文件。
- 一旦再次確定已卸載惡意應用程序,瀏覽器級別的疑難解答可能仍會在您的待辦事項列表中。 如果您喜歡的瀏覽器受到影響,請訴諸本教程的上一部分以恢復為輕鬆的網絡瀏覽。
常見問題
阻止瀏覽工具在其追蹤之中綁架的唯一有效方式是消除其根本誘因,即是,對您的網際網路首選項造成破壞的惡意軟體及其組成部分。一旦您的 Mac 持續存在感染病毒且其在運作,則無法成功恢復正確的 Safari 設定,因病毒會不斷重新啟動流量檢測觸發工具。
該病毒另一嗜好是,惡意網站入口頁面不會在 Safari 首選項下的預設搜尋工具或主頁區域顯示。儘管如此,每一次使用 Google 搜尋都會轉至 Yahoo,且反覆如此出現。最有可能的原因是,其惡意程式調用了一個隱蔽重定向腳本,令修復變得相當複雜。
話雖如此,要防止 Safari 轉至 Yahoo,您需利用一個兩步驟故障排除程序。首先,卸載惡意應用程式——您可遵循上述手冊指引執行操作,或使用自動清理實用小程式。
然後,檢查 Safari 裏面您忘記加入的擴展程式,並將不熟悉的程式移除。同時,請務必確認您的預設搜尋工具提供者設定是否正確。倘以上操作均無效,請使用本教程所列步驟刪除網際網路快去以及其他網站存儲的資料。
如上一項答案所述,僅瀏覽工具故障排除這一項,倘不首先移除基礎病毒,則無法進行。您應該堅持本文所述的清理演練,以徹底消除感染。
重要的是,請務必前往「系統首選項——帳戶」檢查您的登入項目。在多個個案中,受害者都在該處有一個命名為「Mac Mechanic」的項——一旦發現,請立即刪除。這是一項偽冒的系統小程式,會首先將 Yahoo 重定向病毒傳播至您的 Mac。
要解決搜尋工具代替問題,請前往您的瀏覽工具首選項畫面,並確定已選取正確搜尋工具提供者作為預設選項。此外,倘發現可疑瀏覽工具擴展項,請將其禁用。一個更徹底的解決方案是,將受影響的網頁瀏覽工具重設至原始狀態,然後重新定義您的自定義設定。
倘遇到感染病毒的狀況,將您的首選搜尋工具由 Yahoo 轉換回 Google 與手動調整該等設定相較極為複雜。您還需要避免惡意應用程式的干擾,以使良性更改永遠有效。
以下是您的 MacBook Air 或 MacBook Pro 用於查找潛在惡意程式的元件及路徑:活動監測工具、應用程式及登入項目。任何明顯不屬於該處的內容都應刪除。
您需首先從您的 Mac 移除重定向病毒,方可開始修正瀏覽器設定。請參閱題為「清除 Mac 網頁瀏覽工具的 search.yahoo.com 重定向病毒」一節之指引獲取適當指示。完成該等步驟後,請繼續操作並在瀏覽工具選項將您的預設搜尋工具指定為 Google。
不需要。這取決與用作推廣該等網頁服務之方法。顯然,建立及維持一個完全成熟的搜尋工具,需要大量精力與人力資源,加上大量時間。僅大公司有能力付款購買。同時,希望在線上服務納入搜尋功能的法人團體,可選擇將該功能外包予 Yahoo。
然而,眾所周知的是,惡意軟體開發人員會大規模濫用 Powered by Yahoo 框架。他們潛在的惡意應用程式強行更改了使用者的網際網路首選項,因而瀏覽工具顯示加入正常情況下不屬於該處的廣告的 Yahoo 搜尋結果。這說明了類似這種方法會有引起惡意干擾的傾向。事實是,「Powered by Yahoo」在這些流量貨幣化活動中成了掩人耳目的因素。
David Balaban - 3年前