Soft2Secure

从 Mac 移除 Yahoo Search 病毒

从 Mac 移除 Yahoo Search 病毒

学习如何在Mac上摆脱Yahoo重定向病毒,停止Safari和其他浏览器中的定期未经授权的流量转发。

什么是Yahoo搜索重定向病毒?

当无阻地浏览互联网的特权从人们手中溜走时,情况会迅速变得难以忍受。在这种情况下,通过首选服务进行搜索或简单地启动所选择的浏览器会返回用户不希望看到的网站。如果是这种情况,受害者应该寻找在其背后执行整个策略的恶意代码。在Mac电脑上,有许多次要的浏览器劫持者,它们从未达到大规模分发的量级,但也有持续多年并跨越数千台机器的重大攻击活动。后者适用于Yahoo重定向病毒,这是一种流行度表明坚持合理的在线卫生习惯有多么重要的瘟疫。这种入侵的主要症状是令人讨厌的网络流量重定向活动,结果页面显示为search.yahoo.com。

此时,许多读者可能会想知道为什么上述合法搜索引擎被标记为恶意。实际上,并非如此,否则这种分类是一个彻底的误解。问题的实质是一款恶意应用程序,它实际上奴役用户的网络浏览器,并将大部分的互联网浏览路由到Yahoo。现在,从唯一主机引流的在线流量是非常有价值的资产,而网络罪犯们设计了一个复杂的模型,以他们自己邪恶的方式加以利用和变现。问题在于,在受到劫持之前,受害者会通过多个中间域名进行路由,这些点击实际上会计入不可靠的流量变现平台。

将用户重定向到Yahoo的恶意应用

在广义的Yahoo搜索重定向活动的广泛范围下,存在着几种可疑的服务。其中大多数由潜在的不受欢迎的应用程序(PUA)支持,声称能够提升Mac用户的网络浏览体验,但实际上却适得其反。以下是一些主流广告软件变种的例子:
• Safe Finder(search.safefinder.com,search.safefinderformac.com)
• Any Search Manager(search.anysearchmanager.com)
• SearchMine(searchmine.net)
• Search Pulse(search.searchpulse.net)
• TapuFind(search.tapufind.com)
• Chill Tab(search.chill-tab.com)
• Kuklorest(search.kuklorest.com)
• Shroomcourt(search.shroomcourt.com)
• Smokyashan(search.smokyashan.com)
• Feed Chunk App(feed.chunckapp.com)
• Search Pro(goto.searchproonline.com)

所有这些应用程序都将用户重定向到伪装成搜索提供商的着陆页面。然而,可预见的是,它们没有真正的专有信息查找功能,而是原始地将每个查询都重定向到Yahoo。在大多数未经授权的互联网流量重分配情况下,会在目标地点之前解析中间URL。一个常见的例子是以lkysearchds[随机数字]或类似的随机字符串开头的a.akamaihd.net域名。在重定向过程中可能会短暂出现的另一种长期变体是search3.searchgenieo.com。插入这种页面之间的逻辑是通过统计数据收集和黑帽SEO活动来支持活动,这有助于帮助恶意行为者推动他们的暗黑业务。

在许多情况下,这个问题往往与AdLoad家族(也被称为Bundlore)的广告软件应用的秘密安装同时发生。这并非巧合,因为这种变种已知会调整受害者的网络浏览默认设置。该软件的一个显著标志是其图标,其中包含放大镜符号。另一个模式是由两个含糊相关的术语组成的奇怪名称,例如CommonResearch、EmergingZip、OpenForMac和AlgorithmFormula。该应用程序可能通过施加恶意代理设置来进一步利用,以切断常规连接。如果是这样,Yahoo Search将是在Web浏览器中唯一打开的网站,任何访问其他页面的尝试都会出现连接不可用的错误消息。

为了部分恢复Internet访问,受影响的用户应该进入“系统偏好设置”,选择“网络”,点击“高级”按钮,选择“代理”,并取消选中其中任何已激活的协议。尽管这不会卸载广告软件,但它允许受害者浏览其他网站、搜索网络以获取建议,并在需要时下载清理工具。

Yahoo重定向病毒的感染链

突袭的激进阶段之前,底层恶意软件会悄悄地渗入Mac系统。这通常是一个捆绑技术的结果,无论是体面的还是不道德的软件开发者都广泛使用这种技术,以推广一些作为更大安装包的一部分的特定应用程序。如今的用户往往不细读条款,这可能成为严重困境的根源。

Yahoo重定向病毒可能隐藏在多功能的设置客户端中,伪装成合法软件更新或一些有用的免费工具,例如媒体下载器或视频游戏。例如,伪造的Adobe Flash Player更新弹窗被知道会传播这种电子疾病。由于其安装过程简单便捷,快速安装选项成为大多数人喜爱的选择,但它会悄悄地引入这个罪魁祸首。接下来,你会发现Mac上的Safari、Chrome或Firefox开始出现严重问题。顺便提一下,自2020年12月31日起,Adobe正式终止支持和分发他们著名且臭名昭著的不安全解决方案,Mac广告软件运营商正在逐渐调整他们的方案以适应这一变化。这个巧妙的转变是通过不断升级的活动支持的,这些活动以Flash Player卸载程序弹窗的形式传播浏览器劫持者,例如Yahoo重定向病毒。这显示了不良行为者在适应新环境时的敏捷性。

一旦在macOS或Mac OS X系统上发生污染,重定向到search.yahoo.com通常是按照特定模式而不是随机触发的。受害者报告称他们的谷歌搜索被强制重定向到Yahoo。仅仅打开自己偏好的浏览器也会引发这个困境。所有试图通过为相应的自定义浏览设置定义正确的URL来解决问题的尝试都是徒劳的,由于持续的恶意软件活动,错误的值很快又会出现在其中。有时,默认值甚至可能是正确的,而干扰发生在主机操作系统的不同层面。

坚韧的威胁

在持久性方面,Yahoo重定向病毒与所有强大的Mac广告软件谱系一脉相承。一旦它出现在系统中,它通过添加一个欺诈性的配置文件增强攻击链。这个恶意条目显示在系统偏好设置下的配置文件页面的侧边栏中。它的目标是强制执行不同的macOS组件的某些行为,包括已安装的浏览器。这样,恶意代码将以提升的权限运行,除非删除恶意配置文件,否则其影响是无法逆转的。

说到这一点,唯一可能阻碍清理工作的是有害对象的名称因情况而异,因此可能很难准确定位。因此,受害者应该凭直觉寻找一个看起来不对劲的配置文件。一个名为AresLookup或AdminPrefs的条目是Yahoo重定向病毒作为攻击的一部分创建的配置文件的示例(见上图)。它管理浏览器设置,甚至禁用手动修改。额外的症状是不断弹出的对话框要求受害者授予配置文件网络访问权限。选择可疑对象并点击减号图标只是战斗的一半,这将为成功清除感染铺平道路。

更持久的一层,同时也是这种感染的一个显著症状,是在网络浏览器中出现一个新的企业策略。例如,大多数受害者在Mac上的Google Chrome设置下拉菜单中会遇到一个显示“由您的组织管理”的消息。这是在恶意软件活动中滥用合法功能的另一种表现。在这种情况下,治疗措施应同时涵盖受影响系统的多个方面,如下面的清理部分所示。

Mac 上的 Yahoo 搜索重定向病毒手动删除方法

如果你能手動進行故障排除,那麼可以按照以下步驟從Mac上卸載Yahoo重定向流氓软件。請注意,病毒所採用的永久性機制可能會阻止這一方法最終生效。不管怎樣,以下是工作流程:

完成手動清除Yahoo重定向的操作後,請花些時間確認病毒是否已從Mac上消失。如果還有瀏覽器重定向情況發生,請繼續本教程的以下部分。

在Mac上的Web浏览器中摆脱Yahoo重定向病毒

在這種瀏覽器被劫持的複雜情況下,執行重置雖然有一些明顯的弊端,但是是最有效的。自定義設置(例如保存的密碼,加書籤的頁面等)將會不保存,但潛在不良程式所做的所有更改也會跟著消失。以下說明將介紹受Yahoo重定向病毒攻擊最嚴重的瀏覽器的工作流程。

清理Safari

重置Google Chrome

重置Mozilla Firefox

使用Combo Cleaner清除工具来消除Mac上的Yahoo重定向病毒

人工刪除Mac惡意程式碼的過程會面臨很多挑戰,您可能因為沒刪掉受感染的少數片段而前功盡棄。自動化防毒軟體工具Combo Cleaner能排除這個困難,它利用有效的檢測演算法來辯識Mac 系統裡的每個惡意檔案。 如此一來,只需點擊幾下,等幾分鐘,即能移除Yahoo重定向 病毒。請使用以下步驟來進行移除功能。

退出移动版