Одним из способов инфицирования ПК вирусом является фейковое программное обеспечение. Чаще всего это сообщение о необходимости обновить его. И в подавляющем большинстве случаев речь идёт о якобы обновлении Adobe Flash Player. Такая схема проста — технически несведущих пользователе легко обмануть, замаскировав вирус под популярную программу. Однако, поскольку эти методы уже известны, злоумышленники идут дальше.

Что известно

На MacOS обнаружен новый рекламный софт Crossrider. Его нашли специалисты компании Malwarebytes и, как оказалось, он не просто «прописывается» на компьютере, а ещё и защищает себя.

Crossrider принудительно меняет стартовую страницу браузера Safari и Chrome, и не позволяет вернуть оригинальную. Также зловред блокирует возможность удаления себя. И хотя его можно вычистить с помощью Advanced Mac Cleaner, после удаления всех компонентов Crossrider, домашнюю страницу всё ещё нельзя сменить.

Почему

Это связано с профилем конфигурации, который установлен в системе рекламным софтом. Эти профили используются в качестве средства для системных администраторов и позволяют настраивать сразу большое количество Mac. Crossrider устанавливает профиль конфигурации, который заставляет Safari и Chrome всегда открывать страницу на chumsearch [dot] com и не позволяет сменить это в настройках браузера, поскольку приоритет у профиля выше.

Этот профиль устанавливается с идентификатором com.myshopcoupon.www, который не отображается в Системных настройках. Тем не менее, профиль может быть найдет через просмотр полной информации профилях

Что же делать

Нужно сначала найти профиль с идентификатором com.myshopcoupon.www, нажать «Минус» для удаления, ввести пароль (поскольку такие операции доступны только администраторам системы). После удаления профиля можно будет сменить домашнюю страницу.

Как вариант — не пользоваться Flash. От него уже отказались почти все, а Safari и Chrome блокируют его по умолчанию.