什么是Yahoo搜索重定向病毒?
当无阻地浏览互联网的特权从人们手中溜走时,情况会迅速变得难以忍受。在这种情况下,通过首选服务进行搜索或简单地启动所选择的浏览器会返回用户不希望看到的网站。如果是这种情况,受害者应该寻找在其背后执行整个策略的恶意代码。在Mac电脑上,有许多次要的浏览器劫持者,它们从未达到大规模分发的量级,但也有持续多年并跨越数千台机器的重大攻击活动。后者适用于Yahoo重定向病毒,这是一种流行度表明坚持合理的在线卫生习惯有多么重要的瘟疫。这种入侵的主要症状是令人讨厌的网络流量重定向活动,结果页面显示为search.yahoo.com。
此时,许多读者可能会想知道为什么上述合法搜索引擎被标记为恶意。实际上,并非如此,否则这种分类是一个彻底的误解。问题的实质是一款恶意应用程序,它实际上奴役用户的网络浏览器,并将大部分的互联网浏览路由到Yahoo。现在,从唯一主机引流的在线流量是非常有价值的资产,而网络罪犯们设计了一个复杂的模型,以他们自己邪恶的方式加以利用和变现。问题在于,在受到劫持之前,受害者会通过多个中间域名进行路由,这些点击实际上会计入不可靠的流量变现平台。
将用户重定向到Yahoo的恶意应用
在广义的Yahoo搜索重定向活动的广泛范围下,存在着几种可疑的服务。其中大多数由潜在的不受欢迎的应用程序(PUA)支持,声称能够提升Mac用户的网络浏览体验,但实际上却适得其反。以下是一些主流广告软件变种的例子:
• Safe Finder(search.safefinder.com,search.safefinderformac.com)
• Any Search Manager(search.anysearchmanager.com)
• SearchMine(searchmine.net)
• Search Pulse(search.searchpulse.net)
• TapuFind(search.tapufind.com)
• Chill Tab(search.chill-tab.com)
• Kuklorest(search.kuklorest.com)
• Shroomcourt(search.shroomcourt.com)
• Smokyashan(search.smokyashan.com)
• Feed Chunk App(feed.chunckapp.com)
• Search Pro(goto.searchproonline.com)
所有这些应用程序都将用户重定向到伪装成搜索提供商的着陆页面。然而,可预见的是,它们没有真正的专有信息查找功能,而是原始地将每个查询都重定向到Yahoo。在大多数未经授权的互联网流量重分配情况下,会在目标地点之前解析中间URL。一个常见的例子是以lkysearchds[随机数字]或类似的随机字符串开头的a.akamaihd.net域名。在重定向过程中可能会短暂出现的另一种长期变体是search3.searchgenieo.com。插入这种页面之间的逻辑是通过统计数据收集和黑帽SEO活动来支持活动,这有助于帮助恶意行为者推动他们的暗黑业务。
在许多情况下,这个问题往往与AdLoad家族(也被称为Bundlore)的广告软件应用的秘密安装同时发生。这并非巧合,因为这种变种已知会调整受害者的网络浏览默认设置。该软件的一个显著标志是其图标,其中包含放大镜符号。另一个模式是由两个含糊相关的术语组成的奇怪名称,例如CommonResearch、EmergingZip、OpenForMac和AlgorithmFormula。该应用程序可能通过施加恶意代理设置来进一步利用,以切断常规连接。如果是这样,Yahoo Search将是在Web浏览器中唯一打开的网站,任何访问其他页面的尝试都会出现连接不可用的错误消息。
为了部分恢复Internet访问,受影响的用户应该进入“系统偏好设置”,选择“网络”,点击“高级”按钮,选择“代理”,并取消选中其中任何已激活的协议。尽管这不会卸载广告软件,但它允许受害者浏览其他网站、搜索网络以获取建议,并在需要时下载清理工具。
Yahoo重定向病毒的感染链
突袭的激进阶段之前,底层恶意软件会悄悄地渗入Mac系统。这通常是一个捆绑技术的结果,无论是体面的还是不道德的软件开发者都广泛使用这种技术,以推广一些作为更大安装包的一部分的特定应用程序。如今的用户往往不细读条款,这可能成为严重困境的根源。
Yahoo重定向病毒可能隐藏在多功能的设置客户端中,伪装成合法软件更新或一些有用的免费工具,例如媒体下载器或视频游戏。例如,伪造的Adobe Flash Player更新弹窗被知道会传播这种电子疾病。由于其安装过程简单便捷,快速安装选项成为大多数人喜爱的选择,但它会悄悄地引入这个罪魁祸首。接下来,你会发现Mac上的Safari、Chrome或Firefox开始出现严重问题。顺便提一下,自2020年12月31日起,Adobe正式终止支持和分发他们著名且臭名昭著的不安全解决方案,Mac广告软件运营商正在逐渐调整他们的方案以适应这一变化。这个巧妙的转变是通过不断升级的活动支持的,这些活动以Flash Player卸载程序弹窗的形式传播浏览器劫持者,例如Yahoo重定向病毒。这显示了不良行为者在适应新环境时的敏捷性。
一旦在macOS或Mac OS X系统上发生污染,重定向到search.yahoo.com通常是按照特定模式而不是随机触发的。受害者报告称他们的谷歌搜索被强制重定向到Yahoo。仅仅打开自己偏好的浏览器也会引发这个困境。所有试图通过为相应的自定义浏览设置定义正确的URL来解决问题的尝试都是徒劳的,由于持续的恶意软件活动,错误的值很快又会出现在其中。有时,默认值甚至可能是正确的,而干扰发生在主机操作系统的不同层面。
坚韧的威胁
在持久性方面,Yahoo重定向病毒与所有强大的Mac广告软件谱系一脉相承。一旦它出现在系统中,它通过添加一个欺诈性的配置文件增强攻击链。这个恶意条目显示在系统偏好设置下的配置文件页面的侧边栏中。它的目标是强制执行不同的macOS组件的某些行为,包括已安装的浏览器。这样,恶意代码将以提升的权限运行,除非删除恶意配置文件,否则其影响是无法逆转的。
说到这一点,唯一可能阻碍清理工作的是有害对象的名称因情况而异,因此可能很难准确定位。因此,受害者应该凭直觉寻找一个看起来不对劲的配置文件。一个名为AresLookup或AdminPrefs的条目是Yahoo重定向病毒作为攻击的一部分创建的配置文件的示例(见上图)。它管理浏览器设置,甚至禁用手动修改。额外的症状是不断弹出的对话框要求受害者授予配置文件网络访问权限。选择可疑对象并点击减号图标只是战斗的一半,这将为成功清除感染铺平道路。
更持久的一层,同时也是这种感染的一个显著症状,是在网络浏览器中出现一个新的企业策略。例如,大多数受害者在Mac上的Google Chrome设置下拉菜单中会遇到一个显示“由您的组织管理”的消息。这是在恶意软件活动中滥用合法功能的另一种表现。在这种情况下,治疗措施应同时涵盖受影响系统的多个方面,如下面的清理部分所示。
Mac 上的 Yahoo 搜索重定向病毒手动删除方法
如果你能手動進行故障排除,那麼可以按照以下步驟從Mac上卸載Yahoo重定向流氓软件。請注意,病毒所採用的永久性機制可能會阻止這一方法最終生效。不管怎樣,以下是工作流程:
- 在Mac的Finder中找到前往菜單,打開工具程式選項。
- 在工具程式窗口內選擇活動監視器(Mac中的任務管理器)。
- 出現活動監視器界面後,檢查正在運行的進程列表,查找你不認識的項目。突出顯示該條目,然後單擊結束程序選項(帶有X符號的按鈕)。系統將通過確認對話框響應此操作,你應在其中選擇強制結束。
- 現在回到桌面,點開前往菜單,在下拉菜單中選擇應用程式。
- 在應用程式下找到可疑條目,右鍵單擊它,然後選擇 移至垃圾桶選項。此時,你的Mac可能會要求你輸入管理員密碼——如果出現此情況,請輸入密碼。
- 接下來,轉到Apple菜單,在下拉菜單中選擇系統偏好設定,如下所示。
- 進入用戶與組群,選擇登入項目。Mac將顯示啟動時自動執行的應用程序列表。在該列表中找到不需要的條目,單擊底部的“-”(減號)按鈕。
- 在系統偏好設定界面上選擇描述檔。找到可疑的配置文件,單擊“-”(減號)按鈕。
- 在Finder中找到前往下拉菜單,單擊前往資料夾選項。
- 出現文件夾搜索框時,在其中輸入以下路徑:~/Library/LaunchAgents,單擊前往。
- 訪問LaunchAgents文件夾,在其中查找可疑項目,找到後,將它們全部移至垃圾桶。
- 按照相同的方法找到名為/Library/LaunchAgents (不帶波浪號),/Library/LaunchDaemons 和 ~Library/Application Support的文件夾。查找可能不需要的項目,找到後將其移至垃圾桶。
完成手動清除Yahoo重定向的操作後,請花些時間確認病毒是否已從Mac上消失。如果還有瀏覽器重定向情況發生,請繼續本教程的以下部分。
在Mac上的Web浏览器中摆脱Yahoo重定向病毒
在這種瀏覽器被劫持的複雜情況下,執行重置雖然有一些明顯的弊端,但是是最有效的。自定義設置(例如保存的密碼,加書籤的頁面等)將會不保存,但潛在不良程式所做的所有更改也會跟著消失。以下說明將介紹受Yahoo重定向病毒攻擊最嚴重的瀏覽器的工作流程。
清理Safari
- 轉到Safari菜單,選擇偏好設定。
- 如果想要清除Mac上存儲的所有網路數據,請在Safari偏好設定界面上選擇隱私選項,單擊管理網站資料按鈕(建議在被Yahoo重定向劫持的情況下進行此操作)。
- 之後將出現一個對話框,要求你進行選擇確認。如要確認,請單擊全部移除按鈕。請注意,這將使你退出在線服務,並撤銷如保存的密碼等瀏覽器個性化設置。
- 打開Safari,在Finder中單擊開發,選擇清除快取。
- 点開Finder框中的瀏覽記錄菜單,單擊列表底部的清除瀏覽記錄 。
- 保持選中所有瀏覽記錄選項(這是默認選項),點擊清除瀏覽記錄。
- 重啟Safari。
重置Google Chrome
- 點擊窗口右上角的自定義和控制Google Chrome瀏覽器 (⁝),選擇設定。另一個方法是,在地址欄中輸入chrome://settings,再按確認鍵。
- 接著到設定下的進階界面進行設置。
- 找到重設設定小節,單擊其中的講設定還原成原始預設值鏈接。
- 瀏覽器將彈出一個對話框,詢問你是否確定要將設置恢復為原始默認值。單擊重設設定進行確認。
- 重啟Chrome
重置Mozilla Firefox
使用Combo Cleaner清除工具来消除Mac上的Yahoo重定向病毒
人工刪除Mac惡意程式碼的過程會面臨很多挑戰,您可能因為沒刪掉受感染的少數片段而前功盡棄。自動化防毒軟體工具Combo Cleaner能排除這個困難,它利用有效的檢測演算法來辯識Mac 系統裡的每個惡意檔案。 如此一來,只需點擊幾下,等幾分鐘,即能移除Yahoo重定向 病毒。請使用以下步驟來進行移除功能。
- 下載並安裝 Combo Cleaner 應用程式:
下載Yahoo重定向病毒清除工具下載免費的掃描工具會讓您知道您的 Mac 系統是否受到感染。要清除病毒,您必須購買高階版的Combo Cleaner。 - 開啟工具,執行病毒和惡意程式碼的定義更新,然後點擊Start Combo Scan
- 這個應用程式配備了兼顧安全性,隱私性和優化性的頂尖功能。因此,Combo Cleaner不僅能偵測到所有的Mac 惡意程式碼,還能搜尋到tracking cookie 和不必要的檔案,這些不必要的檔案佔用了大量的磁盤空間,應予以刪除。
- 如果 Combo Cleaner 在您的 Mac 上偵測到病毒威脅,它會提供一份報告,這份報告包含了被感染檔案的數量及病毒的種類。此時,您只要點擊 Remove Selected Items按鈕即可
- 如果之前網路瀏覽器偏好選項未經您的同意被病毒修改過的話,在移除Mac系統裡的惡意程式碼後,您需手動重新設定自己偏好的網路瀏覽器選項。