对于一些目前被在通知中心中出现的虚假“Ask You”弹窗困扰的Mac用户来说,这里有一个确保能够摆脱它们的方法。
“Ask You” Mac弹窗是什么?
自2012年OS X Mountain Lion发布以来,通知中心一直是Mac用户体验中不可或缺的一部分。随着每个新的操作系统构建,这个功能进行了微调,但总体的理念仍然保持一致:桥接用户与运行在计算机上的应用程序生成的潜在重要信息之间的差距。毫无疑问,这个组件非常有用,但也不可否认的是,多年来它一直受到骗子和恶意软件分发商的关注。在这种情况下,主要的利用方式归结为欺骗用户允许特定应用显示通知,而这种滥用的常见来源是网络浏览器。这正是最近“Ask You” Mac弹窗活动的内容。在这样的攻击下,受害者会被一个名为“Ask You”的服务不停地发送通知消息,这些消息会从通知中心中涌现出来,如下图所示。
这些恶意弹窗在Mac屏幕右侧不断涌现的原因是一个垃圾网站获得了显示通知的权限。尽管大多数受影响的用户无法记得自己是如何犯错的,但这个后果并不是零点击攻击或类似的复杂策略的问题。一切都始于一个潜在的受害者访问一个可疑的网站,例如mictiotom.com或guroshied.com,这触发了一个假的人类验证请求,据称需要查看一些病毒内容,例如热门新闻或热议的视频。
这些网页还可以根据访问者的地理位置和其他参数推送不同的叙述。虚假的病毒检测报告,据称来自McAfee或其他值得信赖的安全解决方案,带有“神奇”的修复按钮,也非常普遍。事实上,这些“确认您不是机器人”和与恶意软件有关的垃圾弹窗实际上只是用来欺骗用户的虚假权限对话框,点击一个表面上无害的东西就赋予了该网站通过通知中心生成弹窗的权限。
这种策略与浏览器无关,意味着它同样适用于Safari、Google Chrome和Mozilla Firefox。不同的是用户访问恶意网站的方式。在大多数情况下,路径始于通过内容管理系统(CMS)的黑客攻击或目标网站的第三方组件(如插件或主题)的漏洞,在热门出版物上放置一个误导性的广告。点击广告后会打开可疑资源。另一个可能的情况与浏览器重定向病毒的活动有关,这种病毒已经潜伏在Mac中,并根据远程恶意软件操作者的指示将流量转发到任意域名。无论使用何种机制,最终结果取决于用户是否警惕并决定是否与可疑的网站元素进行交互。
如果骗子们的计划成功,"Ask You"弹窗将不断地干扰受害者的计算过程。它们通常包含一些可怕的信息,以迫使用户立即采取行动,不经过深思熟虑。以下是几个这些信息的操纵性措辞的例子:
- “Detected: Trojan_BO8DF831059 – Mac scan required”
- “macOS: The system is in danger! Threat detected. Click to delete”
- “Gmail alert: Account has been hacked. Your data may be stolen! Delete virus”
这个计划背后的骗子们希望以此方式吸引人们上钩,因为与这些通知进行交互是有风险的。在许多情况下,这样做会打开一个欺诈性网页,伪装成合法的恶意软件扫描程序来推销恐吓软件。其中一些着陆网站涉及技术支持骗局,指示访问者通过电话联系“技术人员”。这种策略的目的可能是说服用户允许与Mac进行远程访问会话,从而可能导致隐私问题和长期的危险代码下载。此外,这些弹窗在桌面上铺天盖地,本身就是一个巨大的麻烦。
好消息是,修复可能很简单。上面的屏幕截图演示了通常行之有效的方法。如果点击骗局弹窗时在Safari中打开随机网站,建议打开浏览器的偏好设置,点击“网站”选项卡,在侧边栏中选择“通知”。如果在主窗格中有一个带有“允许”标签的条目,请确保选择“拒绝”而不是“允许”。其他浏览器的操作方式类似。另一个值得尝试的方法是打开“系统偏好设置”,进入“通知”,选择问题浏览器,并撤销看起来可疑的权限。如果这些方法都不奏效,下面的段落将带您完成一种有效的恶意软件清理程序,应该可以解决这个问题。
Mac上手动移除“Ask You”病毒的方法
以下列出的步驟將引導您刪除該惡意應用程式。
- 展開Mac的Finder欄中的“前往”菜單,然後選擇“工具程式”,如下所示。
- 在“工具程式”屏幕上找到“活動監視器”圖標,然後雙擊。
- 在“活動監視器”應用程式中,查找看似可疑的進程。若·縮小搜索範圍,則需關注列表上不熟悉的資源密集型條目。請記住,其名稱不一定與威脅顯現的方式相關,因此您需要相信自己的判斷。如果您查明了問題的罪魁禍首,點擊選擇,然後單擊屏幕左上角的“停止”圖標。
- 後續對話框彈出,並詢問您是否確定要結束故障排除過程時,請選擇“強制結束”選項。
- 再次單擊Finder中的“前往”菜單圖標,然後選擇“前往資料夾”。您也可以使用Command-Shift-G鍵盤快捷鍵。
- 在文件夾搜索對話框中輸入/ 資源庫 / LaunchAgents,然後單擊“前往”按鍵。
- 檢查LaunchAgents資料夾內是否有可疑的項目。請注意,由惡意軟件生成的文件名稱可能無法提供說明它們是惡意軟件的明確線索,
以下是與主流Mac感染相關的幾個LaunchAgents示例:com.updater.mcy.plist、 com.avickUpd.plist 和 com.msp.agent.plist。如果發現不屬於列表的文件,請繼續將其拖至垃圾桶。
- 再次使用“前往資料夾”的查找導航功能,並在搜索字段中輸入〜/ 資源庫 / Application Support的資料夾(請注意路徑前的波浪符號)。
- 打開“Application Support”目錄時,請在其中識別最近生成的可疑資料夾,並將它們發送到“垃圾桶”。快速提示是查找名稱與您故意安裝的Apple產品或應用程式無關的項目。已知的部分惡意資料夾名稱示例有com.AuraSearchDaemon、ProgressSite和IdeaShared。
- 在“前往資料夾” 搜索字段中輸入〜/ 資源庫 / LaunchAgents字符串(不要忘記添加波浪符號)。
- 系统将显示当前用户主目录中的LaunchAgents。寻找与“Ask You”弹出式病毒相关的以下可疑项目:com.ConnectionCache.service.plist、com.digitalprotection.emcupdater.plist、com.mulkey.plist、com.nbp.plist和com.sys.system.plist。将这些文件拖到垃圾桶中。
- 在“前往資料夾”搜索字段中鍵入/ 資源庫 / LaunchDaemons。
- 在LaunchDaemons路徑中,嘗試查明惡意軟件使用的持久性文件。部分Mac感染示例包括com.ConnectionCache.system.plist和com.mulkeyd.plist。 立即刪除可疑文件。
- 單擊Mac的Finder中的“前往”菜單圖標,然後在列表中選擇“應用程式”。
- 找到顯然不屬於該應用程式的條目,然後將其移至垃圾桶。如果此操作需要輸入管理員密碼進行確認,請繼續輸入管理員密碼。
- 展開Apple菜單,然後選擇“系統偏好設定”。
- 轉至“用戶與組群”,然後單擊“登錄項目”選項卡。 系統將顯示計算機啟動時的啟動項目列表。 在此處找到可能不需要的應用程序,然後單擊“-”(減號)按鍵。
- 現在,在“系統偏好設定置”下選擇“描述檔”。在左側邊欄中查找惡意項目。Mac廣告軟件創建的部分配置文件示例包括AdminPrefs、TechSignalSearch、,MainSearchPlatform和Safari Preferences。選擇有問題的條目,然後單擊底部的減號,將其消除。
如果您的Mac已被廣告軟件滲透,那麼即使您刪除了底層應用程序及其周圍散佈的組件,感染也很可能會繼續在默認的Web瀏覽器中佔據主導地位。使用下方的瀏覽器清除說明來進一步解決此攻擊的遺留後果。
在Mac上的網絡瀏覽器中擺脫"Ask You"重定向
首先,應將"Ask You"重定向]病毒接管的Web瀏覽器設置恢復為默認值。 儘管這將清除您的大多數自定義設置,網絡瀏覽歷史記錄以及網站存儲的所有臨時數據,但惡意干擾也應同樣終止。 完成此過程的步驟概述如下:
- 從Safari移除"Ask You"病毒
- 打開瀏覽器,然後轉到Safari菜單。 在下拉列表中選擇首選項。
- 出現“首選項”屏幕後,單擊“高級”選項卡,然後啟用選項“在菜單欄中顯示開髮菜單”。
- 現在,“開發”條目已添加到Safari菜單中,將其展開並單擊“空緩存”。.
- 現在,在Safari菜單中選擇“歷史記錄”,然後在下拉列表中單擊“清除歷史記錄”。
- Safari將顯示一個對話框,要求您指定此操作將應用的時間。 選擇所有歷史記錄以確保發揮最大作用。 單擊清除歷史記錄按鈕以確認並退出。
- 返回Safari偏好設置,然後點擊頂部的“隱私”標籤。 找到顯示“管理網站數據”的選項,然後單擊它。
- 瀏覽器將顯示一個後續屏幕,列出存儲了有關Internet活動數據的網站。 此對話框還簡要說明了刪除操作:在執行此步驟後,您可能會退出某些服務並遇到網站行為的其他變化。 如果可以的話,請繼續並點擊全部刪除按鈕。
- 重新啟動Safari。
- 從Google Chrome移除"Ask You"重定向
- 打開Chrome,點擊窗口右上角的自定義和控制Google Chrome圖標,然後在下拉菜單中選擇設置。
- 在“設置”窗格上時,選擇“高級”。
- 向下滾動到“重置設置”部分。
- 在彈出的對話框中確認Chrome重置。 該過程完成後,重新啟動瀏覽器並檢查其是否存在惡意軟件活動。
- 從Mozilla Firefox移除 "Ask You"病毒
- 打開Firefox並轉到“幫助-故障排除信息”(或在URL欄中鍵入about:support,然後按Enter)。
- 在“故障排除信息”屏幕上,單擊“刷新Firefox”按鈕。
- 確認預期的更改,然後重新啟動Firefox。
使用Combo Cleaner清除工具摆脱“Ask You”弹窗病毒
Mac維護和安全性應用程序Combo Cleaner是一站式可檢測和刪除"Ask You"病毒工具 。 與實用程序清除相比,此技術具有實質性優勢,因為該實用程序每小時更新一次病毒定義,甚至可以準確發現最新的Mac感染。
此外,自動解決方案將在系統結構的深處找到惡意軟件的核心文件,否則可能很難找到該文件。 這是使用Combo Cleaner解決安全查找器問題的演練:
- 下載Combo Cleaner安裝程序。 完成後,雙擊combocleaner.dmg文件,然後按照提示將工具安裝到Mac。
下載本網站上推薦的任何應用程序即表示您同意我們的條款和條件以及隱私政策。 免費的掃描儀會檢查您的Mac是否被感染。 要清除惡意軟件,您需要購買高級版本的Combo Cleaner。
- 從啟動板打開應用程序,然後讓其運行惡意軟件簽名數據庫的更新,以確保它可以識別最新的威脅。
- 單擊“開始組合掃描”按鈕,檢查Mac是否存在惡意活動以及性能問題。
- 檢查掃描結果。 如果報告中顯示“沒有威脅”,那麼您將處於手動清理的正確軌道,並且可以安全地整理網絡瀏覽器,該網絡瀏覽器由於受到惡意軟件攻擊的後果而可能繼續起作用(請參閱上面的說明 )。
- 如果Combo Cleaner檢測到惡意代碼,請單擊“刪除選定的項目”按鈕,並使該實用程序刪除"Ask You"威脅以及Mac上不屬於的任何其他病毒,PUP(可能有害程序)或垃圾文件。
- 一旦再次確定已卸載惡意應用程序,瀏覽器級別的疑難解答可能仍會在您的待辦事項列表中。 如果您喜歡的瀏覽器受到影響,請訴諸本教程的上一部分以恢復為輕鬆的網絡瀏覽。