Supprimer le virus Search Marquis de Safari, Chrome, Firefox sur Mac

Il y a une décennie, les Macs étaient encore des appareils quasiment dépourvus de malwares. Il n’y avait aucune menace suffisamment puissante pour contourner l’autorisation des utilisateurs et les systèmes de protection intégrés. Si l’on compare à aujourd’hui, la situation a radicalement changé. Les machines sous macOS sont continuellement submergées d’adwares, faux utilitaires d’optimisation, ainsi que d’autres menaces plus intrusives telles que les mineurs de cryptomonnaies et les ransomwares. Ces deux premières catégories sont celles qui font le plus d’ombre aux autres.

Qu’est-ce que Search Marquis ?

Search Marquis est un très bon exemple, celui-ci pirate le navigateur en interceptant et recréant tout le trafic web de la victime de manière forcée. Tout comme un autre mauvais redirecteur de la même sorte se nommant Search Baron, il impose des paramètres pour rediriger toute l’activité internet de la victime dans un premier temps vers searchmarquis.com, puis vers une série d’URLs incluant searchbaron.com et us-west.2.elb.amazonaws.com, jusqu’à arriver vers la page de destination.

Contrairement à ce que l’on pourrait penser, la page de destination n’est pas un site exploitant des failles de sécurité ou comportant des entités malveillantes. À la place, c’est une page web tout à fait normale et dont la fiabilité n’est même pas à remettre en question. Croyez-le ou non, le virus Search Marquis redirige vers les résultats de recherche de bing.com à chaque fois que la victime effectue des recherches depuis sa barre de recherches. Par ailleurs, l’infection se manifeste de la même façon sur Safari, Google Chrome et Mozilla Firefox. L’intégration de services connus dans les systèmes de redirection de trafic malveillants se fait depuis bien longtemps. Un autre exemple du même style est la fausse redirection vers Yahoo, qui a elle aussi fait des ravages dans l’écosystème d’Apple pendant de nombreuses années. Quel est l’intérêt ? L’une des raisons pour lesquelles les escrocs intègrent des services de recherche connus dans leur système est que l’attaque semble moins douteuse. Une autre théorie est que rediriger le trafic vers des services de recherches permet aux malfaiteurs de gagner de l’argent grâce à une sorte d’affiliation.

Ceci dit, le fonctionnement de l’attaque Search Marquis porte essentiellement sur la redirection de la navigation web de l’utilisateur Mac d’une manière bien spécifique. Tout l’intérêt réside dans les adresses de transitions qui s’affichent rapidement dans la barre URL d’un navigateur infecté lors de chaque redirection. Ces pages sont pour la majorité intégrées avec des réseaux de monétisation qui permettent de rémunérer chaque visite, surtout celles provenant des ordinateurs Mac qui sont considérés comme haut de gamme. Pour résumer, l’attaque va, de façon ennuyeuse, causer la redirection intempestive de l’activité du navigateur web de la victime vers serachmarquis.com puis vers bing.com à travers de nombreux sites transitoires.

Quelles sont les autres manifestations de l’infection de Search Marquis sur Mac ?

Bien que la redirection d’activité internet du navigateur soit la facette principale de Search Marquis, l’ampleur de son exploitation est plus conséquente. Afin de persister dans macOS, le virus crée ce qui s’appelle un profil de configuration, ou profil d’appareil, dans les Préférences Système. Cette entrée nommée aléatoirement permet de prendre le contrôle de l’activité web en s’assurant que les mauvais paramètres de recherche persistent même si la victime les modifie manuellement.

Une autre facette de l’attaque est l’émergence d’alertes pop-up qui disent que « Votre ordinateur n’a plus assez de mémoire. Pour libérer de la mémoire, veuillez fermer quelques applications ». Cela est fait pour vous induire en erreur et promouvoir d’autres malwares. Tout particulièrement, ces applications douteuses étant promues par des messages trompeurs sont des scarewares – de plus, ces pop-ups peuvent vous alerter sur le fait qu’un virus est déjà présent et actif sur votre ordinateur. Celui-ci a pu infecter le Mac avec Search Marquis. Quelques exemples de pseudo-logiciels d’optimisation sont Advanced Mac Tuneup, Mac Cleanup Pro, et Mac Auto Fixer. Les alertes de mémoire insuffisante sont utilisées pour faire croire que le système a besoin d’un boost de performance, et « l’outil » permettant de le faire qui est recommandé par ces alertes est un faux.

Comment Search Marquis a infecté mon Mac ?

Les malfaiteurs derrière cet outil pirate de navigateur font usage d’une technique de distribution bien rodée. La source la plus commune de cette infection vient de l’infiltration de ce virus lors de l’installation d’autres applications semblant fiables. Ces parasites ne sont pas mentionnés dans les écrans d’installation, et bien évidemment les utilisateurs acceptent la totalité de l’installation pensant que le logiciel principal affiché durant l’installation est le seul qui soit installé.

L’un des stratagèmes qui fonctionne le mieux est la fausse alerte de mise à jour d’Adobe Flash Player. Elle s’appuie sur la même apparence que les vraies alertes de mise à jour – entre autres, les alertes pop-up proposant une nouvelle version. Les auteurs de ce virus ont appris à imiter ces alertes pop-up. Elles apparaissent sur des sites web, qu’ils soient compromis ou spécialement conçus pour être malveillants, et répandent des autres virus comme Search Marquis à travers de fausses notifications de mise à jour Flash Player. Ensuite, l’application potentiellement indésirable (PUA) modifie les paramètres du navigateur sans autorisation et provoque un florilège de redirections.

Suppression automatique du virus Search Marquis sur Mac

1. Téléchargez et installez Combo Cleaner sur votre Mac. Télécharger l’outil de suppression de Search Marquis
2. Ouvrez le Launchpad depuis le dock de votre Mac et cliquez sur l'icône Combo Cleaner pour lancer l'application. Attendez que l'outil mette à jour sa base de données d'identification de virus puis cliquez sur le bouton Start Combo Scan.
3. En plus d'identifier les malwares et problèmes de confidentialité, cette application va inspecter votre Mac et détecter les fichiers indésirables, doublons, et fichiers lourds dont vous voulez sûrement vous débarrasser. Supprimer ces éléments superflus peut libérer beaucoup d'espace sur votre disque dur.
4. Examinez le rapport d'analyse. Avec un peu de chance, les résultats de l'analyse antivirus et des catégories de confidentialité seront vides et le verdict sera « No Threats », ce qui signifie qu'il n'y a aucun souci. S'il y a des infections listées dans le rapport, utilisez l'option Remove Selected pour vous en débarrasser.

Le virus Search Marquis ne devrait désormais plus causer d'ennuis à votre Mac. Soyez informés que votre navigateur par défaut peut toujours être redirigé vers des pages douteuses jusqu'à que vous modifiez ses paramètres (la procédure de réinitialisation sera décrite plus bas).

La suppression manuelle du SearchMarquis.com redirige sur Mac

Bien que cette menace se manifeste uniquement dans le navigateur web, elle laisse une empreinte dans le système pour continuer de sévir. La sous-section ci-dessous va vous aider à trouver et effacer manuellement tous les composants du virus Search Marquis manuellement. Gardez en tête que certains de ses fichiers se trouvent de façon évidente, tandis que certains peuvent être cachés, dans ce cas le nettoyage est plus compliqué à faire qu'une habituelle désinstallation de logiciel.

1. Déroulez le menu Aller dans le Finder de votre Mac puis cliquez sur Utilitaires.
2. Continuez dans Moniteur d'activité.
3. Explorez les processus du Moniteur d'activité qui semblent douteux et utilisent beaucoup le processeur. Soyez informés que le fichier exécutable malveillant n'est pas forcément nommé Search Marquis, vous devrez donc grandement suivre votre intuition. Si vous trouvez un élément suspect, utilisez l'option Forcer à quitter afin d'y mettre fin. Confirmez l'action en cliquant sur Forcer à quitter dans la fenêtre.
4. Dans la barre du Finder, cliquez sur Aller puis sur Aller au dossier dans la liste. Sinon, vous pouvez appuyer simultanément sur les touches Commande + Shift + G.
5. Une fois que la barre de recherche système apparaît, tapez /Bibliothèque/LaunchAgents puis cliquez sur Aller.
6. Lorsque le dossier LaunchAgents s'affiche, cherchez les fichiers suspects et placez-les dans la Corbeille. Sachez que les noms d'éléments malveillants peuvent sembler n'avoir aucun lien avec Search Marquis. Voici quelques exemples de fichiers nuisibles créés par des virus Mac : com.mcp.agent.plist, com.pcv.herlperamc.plist, com.avickupd.plist, etc. Tout élément ne correspondant pas aux fichiers normaux du Mac doivent être immédiatement placés dans la Corbeille.
7. Suivez la même logique (fonctionnalité Aller au dossier) pour ouvrir les répertoires se nommant ~/Bibliothèque/LaunchAgents, /Bibliothèque/Application Support, et /Bibliothèque/LaunchDaemons. Cherchez les fichiers suspects (voir les exemples plus haut) dans chacun d'entre eux et effacez-les.
8. Allez à nouveau dans le menu déroulant Aller dans le Finder puis choisissez Applications.
9. Vérifiez votre liste d'applications afin de repérer d'éventuels éléments indésirables dont la date d'installation coïncide avec le problème de Search Marquis. C'est le plus souvent logiciels nommés aléatoirement dont vous ne vous rappelez pas avoir installé. Lorsque vous trouvez l'application indésirable, déplacez-la dans la Corbeille.
10. Utilisez le Finder afin d'aller dans Préférences Système.
11. Allez ensuite dans Utilisateurs et groupes puis sélectionnez Ouverture. Le système affichera tous les profils utilisateurs créés sur votre Mac ainsi que les applications exécutées automatiquement à chaque fois que vous allumez votre ordinateur. Utilisez le petit bouton « moins » afin de supprimer le profil du virus ainsi que l'élément douteux (e.g. Spaces) qui est activé au démarrage.
12. Désinstaller l'application nuisible n'est que la moitié de la bataille. C'est une façon de s'assurer que les symptômes ne réapparaîtront pas après que vous procéderez à la réparation de votre navigateur. Pendant ce temps, le redirecteur SearchMarquis.com continue d'affecter votre navigateur web préféré et vous devrez donc reconfigurer les bons paramètres de navigation internet. Lisez la sous-section ci-dessous pour savoir comment faire.

Comment puis-je stopper les redirections SearchMarquis.com sur mon navigateur web ?

Heureusement, vous n'avez pas besoin de refaire le monde pour retirer toutes les traces et perturbations qu'a laissé le virus Search Marquis dans votre navigateur. Une technique testée et approuvée consiste à réinitialiser le navigateur web à ses paramètres par défaut. À titre d'information, Apple a retiré le bouton « Réinitialiser Safari » depuis la sortie de la version 9 du navigateur en 2015, la procédure est donc un petit peu plus complexe qu'un simple clic (voir ci-dessous). Peu importe, voici une façon simple de purger le navigateur web le plus célèbre de toute trace malveillante.

Mettez de l’ordre dans votre navigateur Safari

• Sélectionnez Préférences dans le menu Safari comme montré ci-dessous.
• Cliquez sur l'onglet Avancées puis cochez l'option Afficher le menu Développement dans la barre des menus
• Vous verrez maintenant le menu Développement dans votre barre de menu Safari. Cliquez dessus puis sélectionnez Vider les caches comme montré ci-dessous.
• Vérifiez si le navigateur est toujours redirigé vers SearchMarquis.com. Si c'est le cas, retournez dans la barre de menu Safari, déroulez le menu Historique, puis sélectionnez Effacer l'historique comme montré dans la capture d'écran ci-dessous.
• Personnalisez le processus en définissant la période sur laquelle vous souhaitez effacer les cookies et autres données de sites web. Il est recommandé que vous sélectionniez tout l'historique. Ensuite, cliquez sur Effacer l'historique.
• Si votre navigateur Safari est toujours redirigé vers l'URL du virus, allez à nouveau dans le menu Préférences de la barre de menu Safari puis allez dans l'onglet Confidentialité. Trouvez et cliquez sur le bouton Gérer les données du site Web.
• Safari va afficher une liste de tous les sites qui ont conservé vos données en ligne. Cliquez sur le bouton Tout supprimer sans hésiter. Une fois que ces informations ont été supprimées, cliquez sur le bouton Terminé en bas à droite.

Réinitialisez les paramètres Google Chrome

• Ouvrez Chrome, cliquez sur l'icône Personnaliser et contrôler Google Chrome (⁝) en haut à droite de votre fenêtre, puis cliquez sur Paramètres dans le menu déroulant.
• Ouvrez la catégorie Paramètres avancés pour accéder à d'autres paramètres Chrome.
• Dans la partie Réinitialiser les paramètres, cliquez sur le bouton Réinitialiser les paramètres.
• Tout ce qu'il vous reste à faire est de cliquer sur Réinitialiser les paramètres dans la petite fenêtre qui s'affiche dans le cas où vous êtes d'accord avec les changements effectués dans la liste. Relancez Chrome afin de vous assurer que les changements ont été opérés.

Donnez un nouveau souffle à Mozilla Firefox

• Ouvrez Firefox, cliquez sur Aide, et sélectionnez Informations de dépannage dans la liste.
• Cliquez sur le bouton Réparer Firefox.
• Le navigateur va ouvrir une autre fenêtre pop-up dans laquelle vous devrez confirmer cette action. Une fois fait, relancez Firefox et profitez d'une navigation web sans le virus Search Baron interférent.

Comment puis-je être sûr que le virus Search Marquis ne soit plus présent ?

Les symptômes isolés du navigateur sont la partie émergée de l'iceberg. Search Marquis et son malware associé peuvent faire leur empreinte dans le Mac en dehors de son activité de redirection. L'inconvénient de la suppression manuelle est qu'il peut rester des traces cachées de l'infection qui vont la réinstaller après ce qui semble être un bon nettoyage. Ce n'est pas toujours le cas, mais vous devriez sûrement refaire une vérification.

Télécharger l’outil de suppression de Search Marquis