如何从Mac 移除搜索男爵（Search Baron）病毒

什么是搜索男爵？

尽管网络犯罪是一个动态变化的领域，但无论这种演变如何，都有一些常量“硬编码”到犯罪分子的曲目中。浏览器劫持是这些不变的攻击媒介之一。它根本不是一种破坏性技术，但它具有巨大的货币化潜力，可以引诱恶意行为者。

这是这种利用的一个经典公式：一个流氓应用程序加上狡猾的浏览器扩展，导致受害者的网络流量重新分配，再乘以通过合法搜索引擎进行烟幕筛选的广告网络——等于欺诈性利润。

搜索男爵是坚持上述逻辑的大规模持续活动的一个元素。尽管它通常被称为病毒或广告软件，但该名称是受害者和研究人员根据作为重定向危害的一部分出现在浏览器中的URL 创造的。

具体来说，那些受感染的人会继续访问他们从未选择过的垃圾站点和搜索引擎，而SearchBaron.com 是一个正在传输的域。它只可见不到一秒钟，但在阴暗的流量捕获方案中起着至关重要的作用。

这次劫持的主要症状是，选择网络搜索服务的特权被剥夺了受害者。在谷歌或浏览器位置栏中输入的每个查询首先返回SearchBaron.com，然后导航通过一系列中间广告网络和云计算平台（如亚马逊AWS）被抛出到Bing.com。

值得指出的是，第一阶段重定向URL 将额外具有多个ID 和子ID，因此结果地址将采用类似于以下的模式：SearchBaron.com/v1/hostedsearch?pid=[random digits] &subid[随机数字]&keyword=[搜索词]. 您可能想知道为什么Bing 这个合法且权威的实体可能会被添加到这个骗局中。

这是试图掩盖该策略的不利影响并减轻整个重新路由疯狂带来的可怕印象。与此同时，骗子通过强制暂时点击他们与之勾结的流量聚合器来源来实现他们的真正目标。SearchBaron.com在这个阴谋中的作用是什么？它是一种触发器，用于以一种特殊的方式拦截、调度和分配不知情的受害者的互联网导航活动。这样做是以牺牲普通用户的正常网络体验为代价的，但重罪犯却毫不在乎。

Search Baron 病毒如何感染我的Mac？

这种感染分布的零基础是一种基于捆绑的不道德的联合推广技术。在一个保护伞下打包安装多个应用程序不一定是恶意现象。理想情况下，这是软件开发人员在免费传播解决方案的同时获利的一种方式。这种机制的阴暗面是恶意软件制造商可以将他们的有毒程序嵌入到流行的免费软件的安装程序中。问题是用户可能不知道沿线推送的额外应用程序，因为默认设置选项不包括它的指示。

要记住的一件重要事情是，在这些狡猾的安装向导中，所考虑的害虫并未显示为搜索男爵。相反，PUA（可能不需要的应用程序）称为余位。也称为Spaces.app，这是一个臭名昭著的Mac 广告软件，它通过密切关注用户输入的查询来保持对用户Web 浏览偏好的控制并监督在线搜索程序。当识别出此类事件时，偷偷摸摸的程序会将查找过程重新分配给SearchBaron.com。后者然后根据其预定义的重定向算法进行操作，通过一些附属服务引导到Bing。

搜索男爵危险吗？

在大多数情况下，这个劫机者是一种滋扰而不是严重的威胁。但是，众所周知，收集PII（个人身份信息）是其在Mac 计算机内操作的副产品。它记录有关主机系统的详细信息（macOS 版本、IP 地址、用户地理位置）以及与浏览相关的数据，这些数据充分说明了受害者的生活方式。秘密收集的信息包括访问过的网站、电子购物偏好和搜索词。

负责Search Baron 活动的个人可能会通过显示有针对性的恶意广告、进行网络钓鱼攻击或将数据出售给相关方来错误处理这些统计数据。总而言之，感染绝对是对个人隐私的威胁，尽管这方面被网络浏览器中令人讨厌和显眼的症状所掩盖。

如何从Mac 移除Search Baron 病毒？

尽管此威胁仅在Web 浏览器中表现出来，但它实际上会在整个系统中留下足迹以保持持久性。下面的小节将帮助您手动查找和删除Search Baron 病毒的所有组件。请记住，它的一些文件很容易被发现，而一些文件可能是隐藏的，因此与典型的软件卸载情况相比，清理工作更难完成。

• 在发现者栏中，单击前往图标并选择列表中的前往文件夹。或者，您可以按命令+ Shift + G组合键。
• 出现系统搜索栏后，在其中键入/库/ LaunchAgents并单击Go。
  

  

• 當LaunchAgents文件夹出现在您面前时，查找可疑文件并将它们拖到废纸篓。请注意，此类恶意对象的名称可能看起来与SearchBaron 或Spaces 广告软件无关。以下是一些由Mac 病毒产生的已知有害文件的示例：com.mcp.agent.plist，com.pcv.herlperamc.plist，com.avickupd.plist等。任何不符合良性模式的项目Mac 文件应立即移至废纸篓。
• 按照相同的逻辑（转到文件夹功能）依次打开名为〜/库/ LaunchAgents，/图书馆/应用支持和/库/ LaunchDaemons的目录。在每个文件夹中查找可疑文件（参见上面的示例）并将其删除。
• 当前再次使用Finder 中的Go下拉菜单并选择应用领域。
  

  

• 检查您的应用程序列表中是否存在安装时间与Search Baron 问题同时发生的潜在有害实体。这很可能是Spaces.app或一些您不记得最近安装的随机命名的软件。找到不受欢迎的应用程序后，将其拖到废纸篓。完成后清空垃圾箱文件夹。
  

  

• 使用发现者导航到您的系统偏好设置
  

  

   

• 继续到帐户并选择登录项目。系统将显示在您的Mac 上创建的所有用户配置文件以及在您打开计算机时自动执行的程序。使用“减号”象形图删除流氓帐户以及启动时触发的粗略项目（例如余位）。
  

  

• 卸载有害应用程序是成功的一半。这是一种确保在您实施修复的浏览器级别部分后症状不会再次出现的方法。与此同时，SearchBaron.com 重定向令人讨厌继续影响您首选的网络浏览器，因此您需要恢复到正确的Internet 冲浪设置。阅读下面的小节以了解如何操作。

如何在Web 浏览器中停止SearchBaron.com 重定向？

值得庆幸的是，您无需重新发​​明轮子，以使浏览器中的Search Baron 病毒引起的不利调整无效。一种行之有效的技术是将受影响的浏览器重置为其原始默认值。附带说明一下，自2015 年Mac 原生浏览器版本9 发布以来，Apple 已经删除了“重置Safari”按钮，因此该过程现在比一键式体验要复杂一些（见下文）。

无论如何，这里有一个简单的方法来清除恶意影响的最流行的网络浏览器：

1. 整理你的Safari 浏览器
2. 重置谷歌浏览器设置
   • 打开Chrome，单击窗右上角的自定义和控制Google Chrome ( ⁝ ) 图标，然后在下拉列表中选择设置。
   • 查找名为“高级”的按钮，然后单击它以访问基本Chrome 设置之外的内容。
   • 在重置设置区域中，单击显示将设置恢复为原始默认值的按钮。
   • 剩下要做的就是单击相应对话框上的重置设置，以防您对此处列出的结果更改感到满意。重新启动Chrome 以确保良性调整生效。
3. 调整Mozilla Firefox
   • 打开Firefox，单击帮助，然后在列表中选择故障排除信息。
   • 单击名为刷新Firefox的按钮。
   • 浏览器将触发一个额外的弹出对话框，您应该在其中确认重置操作。完成后，重新启动Firefox 并享受您的网上冲浪，而不会受到Search Baron 病毒的干扰。

如何确保Search Baron 病毒已消失？

与浏览器相关的症状只是冰山一角。除了重定向活动之外，Search Baron 及其相关恶意软件还可以在Mac 中立足。手动删除的缺点是可能存在隐藏的威胁遗留物，在看似成功的清理之后将重新安装它。情况并非一定如此，但您可能需要仔细检查您是否清楚。
考虑使用Combo Cleaner 扫描您的Mac，这是一款具有良好记录的优化和安全应用程序。它是轻量级的，并且可以快速检测所有流行形式的Mac 恶意软件。这是操作方法：

1. 1. 下载并安装Combo Cleaner

1. 从Mac 的Dock 打开Launchpad，然后单击Combo Cleaner 图标以运行该应用程序。等待该工具更新其病毒定义数据库，然后单击“开始组合扫描”按钮。
2. 除了识别恶意软件和隐私问题外，该应用程序还会检查您的Mac 是否有垃圾文件、重复文件和您可能不再需要的大文件。删除这些冗余对象可以释放大量磁盘空间。
3. 仔细检查扫描报告。希望它的防病毒和隐私类别的结果是空白的，并且判决是“无威胁”，这意味着您是安全的。但是，如果报告中列出了感染，请使用“删除所选项目”选项来消除它们。