跳到主体内容

发现您的 Mac 上存在恶意软件可能令人担忧。如果您的计算机已被感染,那么您的个人信息,甚至您的身份都面临风险。尽管 Mac 上存在恶意软件的情况比较少见,但 macOS 面临的威胁却呈上升趋势 – 因此了解如何检查 Mac 上是否存在恶意软件以及如何移除 Mac 上的恶意软件非常重要。

本文中用到了术语“恶意软件”和“病毒”,实际上它们是不同的实体。恶意软件是指恶意的软件,例如伪装成合法软件但执行恶意任务(例如窃取您的数据)的应用程序。病毒通常是指小程序,意在通过注入自己的代码来感染计算机上的其他文件和程序。病毒会导致受感染文件像病毒一样运行,并在您的设备上进一步传播代码。

您的 Mac 可能被病毒或恶意软件感染的迹象

有些类型的恶意软件可以在您的设备上保留一段时间而不被发现,而另一些则更容易被发现。需要注意的迹象包括:

您的 Mac 运行速度比平时慢。这可能意味着有人在使用您的设备挖掘加密货币或发动 DDoS 攻击

您的浏览器中有一个新主页或者您未添加过的扩展程序。这可能意味着您的浏览器已被劫持,并将您的流量定向至恶意的第三方网站。

您注意到广告或弹窗比平时多得多。这可能意味着您成为了广告软件的受害者。这类恶意软件通过广告点击(为作恶者,而不是您)产生收益。

您没有扫描 Mac 却收到了安全警报。这可能表明存在恐吓软件,这是一种恶意软件,意在骗您安装更多恶意软件。

您的联系人收到来自您账户的垃圾信息。如果您的朋友表示收到了您通过电子邮件或社交媒体发送的垃圾信息,这可能意味着您的 Mac 已被恶意软件感染,该恶意软件试图将自己或其他恶意程序传播给用户。

您无法访问个人文件并且收到勒索信或警告信。这是最明确的一种恶意软件警告标志。这可能意味着您遇到了特洛伊木马或勒索软件(用于勒索的恶意软件)。

如何检查 Mac 上是否存在恶意软件

检查您的 Mac 上是否存在病毒和恶意软件的关键措施如下:

检查是否存在不需要的应用程序

有时,恶意软件会与合法软件一起出现在您的系统中。如果您一段时间未使用一款应用程序或者不记得安装过该应用程序,最好将其删除。为此,请执行以下操作:

  1. 打开“查找器”,转到“应用程序”文件夹
  2. 滚动应用程序列表,删除您无法辨别的应用程序
  3. 清空“回收站”

检查您的“下载内容”文件夹

恶意软件通常需要下载到您的 Mac 上才能安装,有时这可能会隐蔽地发生。检查您的“下载内容”文件夹,查看是否存在您无法辨别的下载内容。如果发现意料之外的应用程序或磁盘映像,切勿双击进行识别,而应选中其图标,按空格键查看其名称以及下载时间。如果您仍然无法辨别,则将其删除。将您希望保留的已下载文件移至其他文件夹,然后删除所有其他内容,并清空“回收站”。

完成这些操作后,转到 Safari 的“常规”偏好设置,取消勾选“下载后打开安全文件”。如果继续开启此选项,有些偷渡式下载(即由 Web 网页发起的下载)可能在下载到您的 Mac 后启动。

检查并清除可疑登录项

恶意软件经常在您登录 Mac 后开始偷偷运行。要防止此种情况发生,请执行以下操作:

  1. 单击顶部菜单中的“Apple”图标
  2. 转到“系统偏好设置”
  3. 单击“用户和组”
  4. 选择“登录项”
  5. 在弹窗的左下部,单击“锁定”图标
  6. 勾选所有可疑登录项旁边的复选框
  7. 单击“减号”移除登录项
  8. 要确认您的新设置,请再次单击“锁定”图标

如何移除 Mac 上的恶意软件

如果您想移除 Mac 上的恶意软件或病毒,请执行以下关键操作:

进入“安全模式”

在“安全模式”下启动 Mac,这样可防止在启动时加载恶意软件。

在搭载 Intel 处理器的 Mac 上,如何在启动时进入“安全模式”:

  1. 在启动或重启 Mac 时,立即按住 Shift 键
  2. 看到登录窗口时,松开 Shift 键
  3. 使用您常用的信息登录
  4. 在登录界面的右上角,应该可以看到“安全启动”

在搭载 M1 芯片的 Mac 上,如何在启动时进入“安全模式” :

  1. 将 Mac 关机。按住电源键 10 秒
  2. 看到启动选项窗口时,松开电源键
  3. 选择您的启动盘,然后按住 Shift 键
  4. 出现提示后,单击“在安全模式下继续”并松开 Shift 键
  5. 登录,这时您会发现 Mac 已处于“安全模式”

要查看“安全启动”是否开启,请单击屏幕左上角的“Apple”徽标,然后转到“关于此 Mac” > “系统报告” > “软件”。查看“启动模式”是否为“安全模式”。

识别“活动监视器”中的恶意软件

使用“活动监视器”识别潜在的恶意软件:

  1. 转到“应用程序” > “实用程序” > “活动监视器”
  2. 查看应用程序列表,并找到 CPU 或内存使用率异常高的应用程序
  3. 单击窗口左上角区域中的“X”,关闭所选应用程序
  4. 在“查找器”中搜索相应的文件名,并将其删除
  5. 清空“回收站”

运行恶意软件扫描程序

恶意软件扫描程序可以移除大多数普通恶意软件。记住,如果您的计算机上已有时常运行的防病毒程序,则应使用其他扫描程序来检查该恶意软件,因为您当前的防病毒软件可能一开始就无法检测到该恶意软件。如果您认为自己的计算机已被感染,应从可信可靠来源下载按需扫描程序,然后安装并运行能够防御现有和新兴恶意软件的安全软件。

检查浏览器设置并移除未知扩展程序

劫持者可能会转移您的流量、监视或窃取您的数据。因此,恰当的做法是检查您的浏览器设置并移除未知扩展程序。尽管针对不同浏览器的具体操作流程都大体相似,但最好查看您的浏览器的帮助页面了解具体细节。

要移除不需要的 Safari 扩展程序,请执行以下操作:

1. 打开 Safari,转到“偏好设置” > “常规”

2. 在“主页”栏中,查看主页地址

3. 如果当前地址看起来不熟悉,将其更改为喜欢的页面

4. 打开“扩展程序”选项卡,勾选可疑扩展程序旁边的复选框

5. 单击“卸载”

要移除不需要的 Chrome 扩展程序,请执行以下操作:

  1. 在 Chrome 中,选择“窗口” > “任务管理器”
  2. 对“CPU”列进行排序,查看是否有扩展程序占用了大量处理能力。对“内存占用情况”和“网络”列执行同样操作
  3. 现在,在菜单栏中选择“窗口” > “扩展程序”
  4. 查看安装的扩展程序,如有任何看上去有问题的扩展程序,单击“移除”按钮

清除缓存

在您验证主页设置后,应清除您的浏览器缓存。缓存是指硬盘驱动器中用于存放浏览器文件的部分,您的浏览器认为可能会再次使用这些文件。如果没有此功能,您的浏览器运行速度将变慢,因为您打开的每个网站每次都需要从头开始下载大量文件。清除 Safari 和 Chrome 浏览器缓存的方法如下:

要清除 Safari 上的缓存,请执行以下操作:

选择“Safari” > “偏好设置” > “隐私” > “管理网站数据” > “移除所有”。

要清除 Chrome 上的缓存,请执行以下操作:

选择“Chrome” > “历史记录” > “清除浏览数据” > “时间范围” > “所有时间” > “清除数据”。

一台 MacBook 的照片

如果您的 Mac 感染了病毒怎么办

如果您的 Mac 感染了恶意软件,除上述建议外,您还可以采取各种其他措施来保护自己 – 在恶意软件被移除前和移除后都可以。这些包括:

保持脱机状态:

在怀疑被恶意软件感染期间,尽量保持脱机状态。您可以单击菜单栏左上角的“Wi-Fi”图标并选择“关闭 Wi-Fi”,或者断开以太网网线(如果使用有线网络)来断开 Internet 连接。在确定恶意软件感染被清除之前,保持脱机状态可以防止将您的更多数据传送给恶意软件服务器。然而,有一点请注意:如果您需要下载任何清理工具,这种方法不可行。

避免使用密码并尽快将其更改:

如果怀疑您的 Mac 已经感染恶意软件或病毒,应避免在您的设备上输入任何密码或登录信息。这是为了防止您的设备上有隐藏的键盘记录器(恶意软件的常见组件)在运行。有些使用键盘记录器的恶意软件或病毒会定期截屏,因此,要避免以下可能暴露密码的操作方式:从文档中复制密码并粘贴,或单击有时在对话框中出现的“显示密码”复选框。

要更改您的 Mac 的登录密码,请执行以下操作:

转到“系统偏好设置” > “用户和组”,然后单击“更改密码”。

要更改您的 iCloud 密码,请执行以下操作:

您的 iCloud 密码非常重要,因为凭借该密码可以访问多台设备上的大量个人数据。如上所述,如果恶意软件在您输入密码时进行了记录,您的 iCloud 账户可能会被入侵。要更改密码,请转到“系统偏好设置” > “Apple ID” > “密码与安全”,然后单击“更改密码”。如果您尚未开启“双因素身份验证”,请将其开启。这样,如果没有发送到您设备的额外验证码,任何人都无法访问您的 iCloud 账户。

在确定已移除 Mac 上的恶意软件或病毒后,更改所有密码(包括网站、云服务、应用程序、银行等的密码)至关重要。记得使用强密码,切勿在多个网站或不同服务中使用相同的密码。密码管理器可以帮助您记录众多密码。

取消银行卡和信用卡:

如果您曾为恶意软件付过款,例如,您购买了您以为合法的防病毒应用程序,请立即联系信用卡公司或银行解释一下情况。这样做是为了确保您的银行卡和信用卡的详细信息不被用于任何其他地方,而非为了退款 – 不过也有可能收到退款。

即使没有付过款,也最好将感染恶意软件的情况告知银行或金融机构,询问他们有关下一步举措的建议。他们可能会对您的账户进行标记,这样如果以后有人试图访问您的账户,他们会格外警惕。他们还可能为您提供新信息。

使用“时间机器”:

如果您一直在设备上进行定期备份,那么使用“时间机器”执行系统回滚非常容易。这意味着,您可以在设备上出现任何恶意软件或病毒的迹象之前,从备份中恢复您的 Mac。Apple 公司在此提供了有关如何操作的建议。

擦除您的 Mac 并重新安装 macOS:

有时,确保您不被感染的唯一方法是擦除您的 Mac 并将其恢复到出厂设置,然后从头开始重新安装 macOS 和所有应用程序。将您的 Mac 恢复到出厂设置可以移除所有恶意程序。

但是,这种解决方案非常激进。更好的选择是使用病毒扫描程序,为 Mac 设计的防病毒软件通常具有该功能,详情如上所述。

精心挑选所用的防病毒软件:

如果认为您的 Mac 感染了恶意软件,切忌不要用 Google 搜索有关该问题的描述,并安装您找到的第一个声称能够解决该问题的软件。因为很多声称能够解决该问题的软件实际上都是恶意软件,或者纯粹是虚假软件,其目的只是让您花钱。这些应用程序可能看起来很专业,很令人信服,但务必谨慎对待。

如何阻止恶意软件入侵您的 Mac

以下是一些保护您的 Mac 免受病毒和其他恶意软件侵害的安全小贴士:

避免下载恶意软件

Apple 具有内置保护措施,旨在阻止用户安装恶意软件。例如,在未经您许可的情况下,Apple 公司不允许您安装来自非注册开发商的软件。当您试图打开这类应用程序时,系统会警告您该应用程序来自不明开发商。这并不一定意味着该程序就是恶意软件,因此,通常您可以打开此类软件,但打开前需要您对设置进行一些更改:

  • 打开“系统偏好设置”
  • 转到“安全与隐私”选项卡
  • 单击“锁定”图标,输入密码,以便更改设置
  • 将“允许的应用程序下载来源”设置从“仅 App Store”更改为“App Store 和认可的开发商”

macOS 的 Gatekeeper 技术能够识别任何恶意软件并阻止您安装 – 前提是该恶意软件不是最近出现的(Apple 公司需要几天或几周时间来处理新的恶意软件)。如果 macOS 检测到恶意应用程序,它会告诉您并要求您将其移至“回收站”。

然而,恶意软件可能与合法软件非常相似,例如您在认为自己的设备被感染后慌忙之中下载并安装的病毒扫描程序。因此,在下载软件之前阅读可信评论或征求他人的个人建议很重要。

虽然 Apple 确实会提供内置保护措施,但恶意软件仍然有办法欺骗您进行安装。这类恶意软件可能是您下载的,也可能是您通过电子邮件,甚至即时消息收到的,因此务必保持警惕。

警惕虚假文件

有时恶意软件和病毒会伪装成图像文件、文字处理文档或 PDF 文档,您要么在不知道它是什么的情况下打开,要么出于好奇(例如,在桌面上发现奇怪的新文件时)打开查看其内容。因此,千万不要打开突然出现的文件,除非您知道它是什么文件。

恶意软件制造者就此所用的技术只是给恶意软件一个假的文件扩展名,但这往往能成功地欺骗用户。这类文件通常来自可疑的电子邮件,发件人是您后来发现其电子邮件被黑客入侵的联系人。

注意通过合法文件加载的恶意软件

恶意软件可以通过您的浏览器或其他软件(例如文字处理器或 PDF 查看器)中的缺陷或安全漏洞感染您的系统。例如,您打开的一个普通文档或网页中包含隐藏的恶意软件,然后该恶意软件在您未发觉的情况下运行,或者在您的系统中打开一个漏洞,以便进一步利用。

避免虚假的更新或系统工具

恶意软件往往与合法更新很类似。通常情况下,恶意软件是在您浏览时通过虚假的警告对话框提供的。Adobe Flash Player 浏览器插件的虚假更新、虚假的防病毒软件/系统优化应用程序是常见的攻击载体。请注意,Adobe 在 2020 年底已终止对 Adobe Flash 的支持,因此任何下载 Flash Player 的邀请都属于欺诈。

不要接受虚假的技术帮助

如果您接到来路不明的电话,声称来自 Apple 公司或者您的电信服务提供商,告知您他们认为您的计算机已被感染,并且主动提出一些步骤来修复造成的损害,请挂断电话。他们的目的是欺骗您将恶意软件下载到您的设备上。

注意网络卫生

例如,不打开陌生人发来的电子邮件附件,避免使用不信任的网站,只从可信来源(例如 App Store)下载应用程序,每个账户都使用强密码,定期备份重要文件,以及使用提供实时保护的 Mac 防病毒软件。

相关产品:

延伸阅读:

如果认为您的 Mac 上存在恶意软件应该怎么办

如果认为您的 Mac 上存在恶意软件,迅速采取行动非常重要。了解如何检查 Mac 上是否存在病毒以及如何移除 Mac 上的恶意软件。
Kaspersky Logo