苹果电脑(Macs)成为攻击的对象,其中浏览器设置被重定向病毒扭曲,以宣传虚假搜索引擎和其他可疑服务。
什么是浏览器重定向Mac病毒?
随着 macOS 威胁景观日益多元化,值得庆幸的是,目前在这个环境中遭受真实入侵的高度严重的恶意代码还很少。它已经见过几次勒索软件爆发,但受影响的范围有限,这使得这种令人恶心的现象迄今未能成为游戏改变者。提供后门访问并执行特权升级的 rootkit 和间谍软件都处于概念验证(PoC)阶段,而不是普遍的威胁。这在很大程度上是由于 Apple 的值得称赞的保护措施。然而,这些计算机被称为浏览器重定向病毒这种不太有害,但令人极其恼人的感染所大量攻击。如其名称所示,它们会在未经同意的情况下将网络流量重定向到不需要的网站。要启动这种攻击,一种有毒软件会在受害者不知情的情况下替换浏览网页的自定义设置。
因此,受影响的浏览器变成了为广告网络或那些通过阴暗的计划来提高其搜索引擎排名(因此提高其搜索引擎存在感)的网站生成点击的发生器。除此之外,目标还可能包括技术支持诈骗、凭证钓鱼页面和通过“驱动下载”技巧传播的危险应用程序的污泥池。如果用户对他们安装的软件保持谨慎,这些都不会发生。大多数浏览器重定向病毒,或者常常被称为浏览器劫持程序,都在推送多个程序的免费软件捆绑包的掩护下传播。这本身并不是一种恶意机制,但网络犯罪分子将其武器化以掩盖有毒的东西。在这种情况下,用户接受多组件安装客户端的所有条款,只是让感染随着明确推广的良性应用程序一起进入。在处理这些捆绑包时,强烈建议选择自定义模式而不是默认模式,然后取消勾选任何可疑的内容。除了这种攻击向量外,骗子还经常伪造流行的扩展,并将它们上传到官方的浏览器市场,如果他们成功绕过了验证控件。
Mac 浏览器重定向病毒的类型
上述的分发技术(捆绑和扩展伪造)是针对 Mac 机器的所有浏览器劫持者所共有的。另一个共同点是重定向原则,即更改所有或一些主要的互联网首选项,如默认搜索引擎、主页和新标签页。然而,使每个样本脱颖而出的是重定向过程的路径以及着陆页面。奇怪的是,目前该领域主要由将流量重定向到合法搜索提供商的罪犯所掌控。其中一种是 Bing 重定向病毒。这个长期运行的活动通过一系列附属服务将网络流量引导到 Bing.com,其中几个臭名昭著的“帮凶”网站是 SearchBaron.com、SearchMarquis.com、Search1.me 和 Nearbyme.io。
同样多产的网络攻击活动依赖于雅虎重定向病毒。通过接管受害者的浏览器,它强制将点击转向伪搜索引擎,进而导致雅虎托管搜索(YHS)结果。最令人讨厌的副产品是安全查找器、任意搜索、TapuFind、Chill Tab、SearchMine、Search Pulse和TabSearch。恶意行为者将一些全球最受欢迎的服务变成了他们的诡计登陆页,这看起来完全荒谬。最可信的理论是,Bing和雅虎被滥用来掩盖途中发生的恶心事情。在恶意软件的作用下,浏览器被配置成向可疑的URL发送几乎不引人注目的查询,其中许多与欺诈广告网络的API相关联。另一个获利层面可能涉及由上述科技巨头经营的合法联盟平台,但很难相信恶意行为者可以长期欺骗它们的严格控制。
一些Mac浏览器劫持程序不会按照预期操作,而是强制受害者访问显示虚假病毒警报的页面,将重定向活动限制在毫无价值的“专有”搜索服务上,或显示虚假的人类验证弹窗,掩盖了控制浏览器的权限。然而,这些示例中的大多数都是短暂的和相对较小的。不管是哪种类型,跨浏览器的特性都是所有这些恶意软件的特征。无论你喜欢Safari、Google Chrome、Mozilla Firefox还是Opera,你可能会遇到的病毒几乎肯定会对它产生影响,只是有些微小的区别。例如,在Chrome中,显示“你的浏览器由你的组织管理”的消息(如上面的截图所示)是一种非常常见的攻击症状。
Mac重定向病毒的持久化技术
这种恶意软件采取的攻击方式强调抵抗定期消毒的能力。为此,重定向病毒不仅会将其文件分散在系统文件夹中,例如Application Support、LaunchAgents和LaunchDaemons,还会采取一些技巧。一个经典的技巧是处理配置文件,这是一种由网络管理员在组织内强制实施企业政策的功能。这种功能的强大之处在于指定了不同macOS组件或第三方软件,包括Web浏览器的限制和模式。例如,它可以将用户的互联网活动缩小到某些网站。下图显示了一个欺诈性配置文件,它将带有恶意软件支持的资源定义为Google Chrome的默认主页和新标签页。
同样的调整也可以针对Safari和其他检测到的浏览器进行。这种方法防止受害者手动重新定义其首选项,因为错误的设置被硬编码,除非配置文件消失,否则无法修改。感染可能通过设置称为ExtensionInstallForcelist的策略来增强其在Mac上的立足点,该策略允许攻击者在未经用户许可的情况下在Chrome中安装附加组件。将浏览器策略和设备配置文件相结合是病毒通过下载其他恶意软件扩展攻击面并生存于定期删除之外的有效方式。
为了在Web浏览器的级别上获得额外的权限,一些变种采用了弹出式叠加机制,其中一个引人注目的警报会出现在另一个上面。其想法是使用户在不知情的情况下接受一个棘手的请求。提示消息“您的计算机内存不足”和“您的硬盘马上就满了”是这种操纵的例子,并伴随上述Search Baron和Search Marquis等恶意软件的攻击。每个提示消息都掩盖了一个对话框,其中一个恶意应用程序请求权限控制浏览器,包括访问文档和数据以及在应用程序内执行操作。
总的来说,这种攻击手段的普遍存在意味着浏览器是恶意行为的美味猎物。除了提供重要的流量变现机会外,它还保留了可能成为攻击目标的个人信息。因此,正确的软件安装卫生习惯符合您的最佳利益,因为它有助于避免陷阱捆绑包,其中高概率存在重定向病毒。如果已经存在这样的恶意程序,以下是一些消除它并重新定义浏览器设置的提示。
Mac浏览器重定向病毒手动清除
以下步骤将指导您消除这种恶意应用程序。请务必按照指定的顺序执行说明。
- 展開Mac的Finder欄中的“前往”菜單,然後選擇“工具程式”,如下所示。
- 在“工具程式”屏幕上找到“活動監視器”圖標,然後雙擊。
- 在“活动监视器”应用程序中查找可疑进程。为了缩小搜索范围,请集中注意力在列表中不熟悉的资源密集型条目上。请记住,其名称并不一定与威胁表现方式有关,因此您需要相信自己的判断力。如果您确定了罪犯,请选择它并单击屏幕左上角的停止图标。
- 後續對話框彈出,並詢問您是否確定要結束故障排除過程時,請選擇“強制結束”選項。
- 再次單擊Finder中的“前往”菜單圖標,然後選擇“前往資料夾”。您也可以使用Command-Shift-G鍵盤快捷鍵。
- 在文件夾搜索對話框中輸入/ 資源庫 / LaunchAgents,然後單擊“前往”按鍵。
- 檢查LaunchAgents資料夾內是否有可疑的項目。請注意,由惡意軟件生成的文件名稱可能無法提供說明它們是惡意軟件的明確線索,
以下是與主流Mac感染相關的幾個LaunchAgents示例:com.updater.mcy.plist、com.avickUpd.plist 和 com.msp.agent.plist。如果發現不屬於列表的文件,請繼續將其拖至垃圾桶。
- 再次使用“前往資料夾”的查找導航功能,並在搜索字段中輸入〜/ 資源庫 / Application Support的資料夾(請注意路徑前的波浪符號)。
- 打開“Application Support”目錄時,請在其中識別最近生成的可疑資料夾,並將它們發送到“垃圾桶”。快速提示是查找名稱與您故意安裝的Apple產品或應用程式無關的項目。已知的部分惡意資料夾名稱示例有com.AuraSearchDaemon、ProgressSite和IdeaShared。
- 在“前往資料夾” 搜索字段中輸入〜/ 資源庫 / LaunchAgents字符串(不要忘記添加波浪符號)。
- 系統將顯示當前用戶主目錄中的LaunchAgent。查找與“搜索侯爵”病毒相關的可疑項目(請參閱上方小節中突出顯示的邏輯),然後將可疑對象拖到垃圾桶。
- 在“前往資料夾”搜索字段中鍵入/ 資源庫 / LaunchDaemons。
- 在LaunchDaemons路徑中,嘗試查明惡意軟件使用的持久性文件。部分Mac感染示例包括com.ConnectionCache.system.plist、com.mulkeyd.plist和com.pplauncher.plist。 立即刪除可疑文件。
- 單擊Mac的Finder中的“前往”菜單圖標,然後在列表中選擇“應用程式”。
- 找到顯然不屬於該應用程式的條目,然後將其移至垃圾桶。如果此操作需要輸入管理員密碼進行確認,請繼續輸入管理員密碼。
- 展開Apple菜單,然後選擇“系統偏好設定”。
- 轉至“用戶與組群”,然後單擊“登錄項目”選項卡。
系統將顯示計算機啟動時的啟動項目列表。 在此處找到可能不需要的應用程序,然後單擊“-”(減號)按鍵。 - 現在,在“系統偏好設定置”下選擇“描述檔”。在左側邊欄中查找惡意項目。Mac廣告軟件創建的部分配置文件示例包括AdminPrefs、TechSignalSearch、MainSearchPlatform和Safari Settings。選擇有問題的條目,然後單擊底部的減號,將其消除。
如果您的Mac已被廣告軟件滲透,那麼即使您刪除了底層應用程序及其周圍散佈的組件,感染也很可能會繼續在默認的Web瀏覽器中佔據主導地位。使用下方的瀏覽器清除說明來進一步解決此攻擊的遺留後果。
如何在Mac上消除浏览器重定向病毒
首先,应将被浏览器重定向病毒接管的浏览器设置恢复为默认值。尽管这将清除大部分的自定义设置、浏览历史和所有网站存储的临时数据,但恶意干扰也应该随之终止。完成此过程的步骤概述如下:
- 在Safari中删除浏览器重定向病毒
- 打開瀏覽器,然後轉到Safari菜單。 在下拉列表中選擇首選項。
- 出現“首選項”屏幕後,單擊“高級”選項卡,然後啟用選項“在菜單欄中顯示開髮菜單”。
- 現在,“開發”條目已添加到Safari菜單中,將其展開並單擊“空緩存”。.
- 現在,在Safari菜單中選擇“歷史記錄”,然後在下拉列表中單擊“清除歷史記錄”。
- Safari將顯示一個對話框,要求您指定此操作將應用的時間。 選擇所有歷史記錄以確保發揮最大作用。 單擊清除歷史記錄按鈕以確認並退出。
- 返回Safari偏好設置,然後點擊頂部的“隱私”標籤。 找到顯示“管理網站數據”的選項,然後單擊它。
- 瀏覽器將顯示一個後續屏幕,列出存儲了有關Internet活動數據的網站。 此對話框還簡要說明了刪除操作:在執行此步驟後,您可能會退出某些服務並遇到網站行為的其他變化。 如果可以的話,請繼續並點擊全部刪除按鈕。
- 重新啟動Safari。
- 打開瀏覽器,然後轉到Safari菜單。 在下拉列表中選擇首選項。
- 在Google Chrome中删除浏览器重定向病毒
- 打開Chrome,點擊窗口右上角的自定義和控制Google Chrome圖標,然後在下拉菜單中選擇設置。
- 在“設置”窗格上時,選擇“高級”。
- 向下滾動到“重置設置”部分。
- 在彈出的對話框中確認Chrome重置。 該過程完成後,重新啟動瀏覽器並檢查其是否存在惡意軟件活動。
- 打開Chrome,點擊窗口右上角的自定義和控制Google Chrome圖標,然後在下拉菜單中選擇設置。
- 在Mozilla Firefox中删除浏览器重定向病毒
- 打開Firefox並轉到“幫助-故障排除信息”(或在URL欄中鍵入about:support,然後按Enter)。
- 在“故障排除信息”屏幕上,單擊“刷新Firefox”按鈕。
- 確認預期的更改,然後重新啟動Firefox。
- 打開Firefox並轉到“幫助-故障排除信息”(或在URL欄中鍵入about:support,然後按Enter)。
使用Combo Cleaner清除工具摆脱浏览器重定向病毒
Mac維護和安全性應用程序Combo Cleaner是一站式可檢測和刪除browser redirect病毒工具 。 與實用程序清除相比,此技術具有實質性優勢,因為該實用程序每小時更新一次病毒定義,甚至可以準確發現最新的Mac感染。
此外,自動解決方案將在系統結構的深處找到惡意軟件的核心文件,否則可能很難找到該文件。 這是使用Combo Cleaner解決安全查找器問題的演練:
- 下載Combo Cleaner安裝程序。 完成後,雙擊combocleaner.dmg文件,然後按照提示將工具安裝到Mac。
下載本網站上推薦的任何應用程序即表示您同意我們的條款和條件以及隱私政策。 免費的掃描儀會檢查您的Mac是否被感染。 要清除惡意軟件,您需要購買高級版本的Combo Cleaner。
- 從啟動板打開應用程序,然後讓其運行惡意軟件簽名數據庫的更新,以確保它可以識別最新的威脅。
- 單擊“開始組合掃描”按鈕,檢查Mac是否存在惡意活動以及性能問題。
- 檢查掃描結果。 如果報告中顯示“沒有威脅”,那麼您將處於手動清理的正確軌道,並且可以安全地整理網絡瀏覽器,該網絡瀏覽器由於受到惡意軟件攻擊的後果而可能繼續起作用(請參閱上面的說明 )。
- 如果Combo Cleaner檢測到惡意代碼,請單擊“刪除選定的項目”按鈕,並使該實用程序刪除browser redirect威脅以及Mac上不屬於的任何其他病毒,PUP(可能有害程序)或垃圾文件。
- 一旦再次確定已卸載惡意應用程序,瀏覽器級別的疑難解答可能仍會在您的待辦事項列表中。 如果您喜歡的瀏覽器受到影響,請訴諸本教程的上一部分以恢復為輕鬆的網絡瀏覽。
