Cómo atrapar y eliminar Hidden Launch Daemons y LaunchAgents en Mac
¿Alguna vez has experimentado estas frustraciones en tu Mac??
- Aparece una aplicación en la barra de menú, pero no en los elementos de inicio de sesión..
- Safari redirige a sitios de adware o cambia su página de inicio sin su permiso.
- Los procesos desconocidos consumen CPU en segundo plano.
Desafortunadamente, con estos tipos de eventos inesperados, eliminar la aplicación de los elementos de inicio de sesión no es suficiente para resolver el problema. Hay muchos componentes ocultos subyacentes, y Apple no los expone en la interfaz típica de macOS.
Le mostraremos cómo puede monitorear y tomar medidas contra estos elementos de inicio de sesión ocultos para solucionar problemas únicos de Mac.
Entendiendo la rutina de inicio de macOS
Cuando presionas el botón de encendido, tu Mac se inicia con una serie de eventos familiares:
- Escuchas un sonido de inicio audible (las Mac más recientes no hacen esto).
- El logo de Apple aparece junto con la barra de progreso..
- Verá aparecer la pantalla de inicio de sesión cuando se complete (o el escritorio si tiene habilitado el inicio de sesión automático).
Detrás de las escenas, macOS comienza el lanzamiento proceso. Es responsable de iniciar, detener y administrar todos los demás procesos, incluido el sistema y las cuentas de usuario individuales. El proceso está altamente optimizado y toma solo unos minutos..
Para examinar esto usted mismo, abra el Monitor de actividad aplicación, y elegir Ver> Todos los procesos. En la parte superior, verás dos procesos principales: kernel_task y lanzamiento, con sus identificaciones de proceso (PID) como 0 y 1.
Esto muestra que lanzamiento es el proceso primario primario cuando se inicia el sistema. También es el último proceso para salir cuando el sistema se apaga.
La responsabilidad principal de lanzamiento es lanzar otros procesos o trabajos de forma programada o bajo demanda. Estos vienen en dos tipos: LaunchDaemons y LaunchAgents.
¿Qué son los LaunchDaemons y LaunchAgents??
Los LaunchDaemons normalmente se ejecutan como root, independientemente de si un usuario ha iniciado sesión o no. No pueden mostrar información utilizando la interfaz gráfica de usuario y afectan a todo el sistema.
Por ejemplo, el locationd proceso detecta la ubicación geográfica de la Mac, mientras que bluetoothd El proceso gestiona bluetooth. La lista de demonios vive en las siguientes ubicaciones:
/ Sistema / Biblioteca / LaunchDaemons
para procesos macOS nativos/ Library / LaunchDaemons
para aplicaciones de terceros instaladas
Los agentes de inicio se inician cuando un usuario inicia sesión. A diferencia de los demonios, pueden acceder a la interfaz de usuario y mostrar información. Por ejemplo, una aplicación de calendario puede monitorear los eventos de la cuenta del calendario del usuario y notificarle cuando ocurre el evento. La lista de agentes vive en las siguientes ubicaciones:
/ Biblioteca / Agentes de lanzamiento
para todas las cuentas de usuario~ / Biblioteca / Agentes de lanzamiento
para una cuenta de usuario específica/ Sistema / Biblioteca / Agentes de lanzamiento
solo para macOS
Antes de iniciar sesión, lanzamiento ejecuta servicios y otros componentes especificados en archivos PLIST desde la carpeta LaunchDaemons. Una vez que hayas iniciado sesión, lanzamiento ejecutará servicios y componentes definidos en archivos PLIST desde las carpetas de LaunchAgents. Los de / Sistema / Biblioteca son parte de macOS y están protegidos por la protección de integridad del sistema ¿Qué es SIP? ¿Qué es SIP? ¿Qué es la protección de integridad del sistema macOS? MacOS Explicación de la protección de integridad del sistema ¿Qué es la protección de integridad del sistema en su Mac? Explicamos qué hace SIP y cómo afecta al software macOS. Lee mas .
Los archivos de preferencias siguen el sistema de nombres de dominio inverso estándar. Comienza con el nombre de la empresa, seguido de un identificador de la aplicación y termina con la extensión del archivo de lista de propiedades (.PLIST). Por ejemplo, at.obdev.LittleSnitchHelper.plist es el archivo auxiliar de la aplicación LittleSnitch.
Cómo atrapar LaunchDaemons y LaunchAgents
A diferencia de los de la Sistema carpeta, el publico LaunchDaemon y LaunchAgent Las carpetas están abiertas a aplicaciones legítimas e ilegítimas. Puedes monitorear estas carpetas automáticamente con Acciones de carpeta.
Abre el Editor de AppleScript aplicación mediante la búsqueda en Spotlight. Hacer clic Preferencias y elige General> Mostrar el menú Script en la barra de menú.
Haga clic en el Menú de Script icono y elegir Acciones de carpeta> Habilitar acciones de carpeta. Entonces seleccione Adjuntar guión a la carpeta en ese mismo menú.
Aparecerá un cuadro de diálogo. Desde aquí, seleccione añadir - alerta de nuevo elemento.
Hacer clic DE ACUERDO para abrir una ventana del Finder. Ahora seleccione la carpeta LaunchDaemon del usuario (listada arriba) y haga clic en Escoger.
Repita el procedimiento anterior para cada carpeta de LaunchAgents.
Cuando haya terminado, abra el Finder y haga clic en Ir> Ir a la carpeta o presione Mayús + Cmd + G para abrir el cuadro de diálogo de navegación. Tipo ~ / Biblioteca / Agentes de lanzamiento y haga clic Ir.
Haga clic derecho en el LaunchAgents carpeta, y elija Servicios> Configuración de acciones de carpeta para enlazar el nuevo script de alerta de elemento a cada carpeta.
En el cuadro de diálogo que aparece, verá la lista de carpetas en la columna de la izquierda y el script en la columna de la derecha. Si no ve ningún script, haga clic en el Más botón y añadir nuevo elemento alert.scpt.
Considere monitorear estas carpetas con aplicaciones
Si desea algunas opciones adicionales para alertas en estas carpetas, puede probar algunas herramientas de terceros.
EtreCheck es una herramienta de diagnóstico de macOS que muestra el estado de carga de LaunchDaemons y LaunchAgents de terceros, entre otra información. Cuando ejecuta EtreCheck, recopila una variedad de información sobre su Mac 9 Detalles esenciales que debe conocer sobre su Mac 9 Detalles esenciales que debe conocer sobre su Mac Como usuario de Mac, debe conocer ciertos detalles sobre su computadora en caso de que necesite solucionar problemas Aquí hay varios detalles clave de Mac que debes revisar ahora mismo. Lee más y lo presenta en un informe fácil de leer. También tiene opciones de ayuda adicionales cuando se trata de adware, demonios y agentes sospechosos, archivos sin firmar y más.
Abra EtreCheck y haga clic Escanear. Esto tomará unos minutos, y una vez que lo haga, verá un resumen completo de su computadora. Esto incluye problemas mayores y menores, especificación de hardware, problemas de compatibilidad de software, el estado de LaunchDaemons y LaunchAgents, y más.
La aplicación es gratuita para los primeros cinco informes, luego requiere una compra de $ 10 dentro de la aplicación para su uso continuo.
Lingon X es otra herramienta que le permite iniciar una aplicación, un script o ejecutar un comando automáticamente de forma programada. También puede monitorear todas las carpetas LaunchDaemons y LauchAgents en segundo plano y mostrar una notificación cuando algo cambia. Puede ver todos los elementos gráficamente y ajustarlos según sea necesario.
Esta herramienta es gratuita y cuesta $ 15 por una licencia completa.
Cómo quitar LaunchDaemons y LaunchAgents
El público / Biblioteca / Agentes de lanzamiento y / Library / LaunchDaemons Las carpetas son vulnerables a aplicaciones legítimas e ilegítimas. Una aplicación legítima podría usarla para marketing, mientras que las aplicaciones ilegales pueden usarla para robar datos e infectar el sistema.
Para que el adware y el malware sean exitosos, deben persistir en cada sesión de usuario. Para hacer esto, los autores de malware y adware crean código malicioso y lo colocan en la carpeta LaunchAgent o LaunchDaemon. Cada vez que tu Mac comienza, lanzamiento asegurará que el código malicioso se ejecute automáticamente. Afortunadamente, las aplicaciones de seguridad pueden ayudar a proteger contra esto.
Usa aplicaciones de seguridad de Mac
El KnockKnock gratuito funciona según el principio de persistencia. Enumera las aplicaciones instaladas de forma persistente y sus componentes en una interfaz ordenada. Haga clic en el Escanear y KnockKnock analizará todas las ubicaciones conocidas donde podría haber malware..
El panel izquierdo contiene las categorías de aplicaciones persistentes, con nombres y una breve descripción. Haga clic en cualquier grupo para mostrar los elementos en el panel derecho. Por ejemplo, haga clic en Elementos de lanzamiento en el panel izquierdo para ver todos los Agentes de inicio y Demostraciones de inicio.
Cada fila proporciona información detallada sobre la aplicación. Esto incluía el estado firmado o sin firmar, la ruta al archivo y los resultados del análisis antivirus de VirusTotal.
Otra aplicación de seguridad gratuita de Objective-See, BlockBlock monitorea continuamente las ubicaciones de persistencia. La aplicación se ejecuta en segundo plano y muestra una alerta cada vez que el malware agrega un componente persistente a macOS.
Sin embargo, no todos los archivos PLIST de terceros son maliciosos. Podrían venir de cualquier parte, incluyendo:
- Componentes de las aplicaciones instaladas.
- Restos de aplicaciones antiguas que ya no usas.
- Las sobras de las actualizaciones de macOS anteriores
- Asistente de Migración sobrantes
- PUP (programas potencialmente no deseados), adware y malware.
No desea eliminar ningún componente de las aplicaciones instaladas. Sin embargo, es perfectamente seguro eliminar los restos de aplicaciones antiguas y las sobras de las actualizaciones anteriores de macOS (a menos que desee continuar usando esas aplicaciones).
No hay un proceso de desinstalación único para esto, simplemente elimine el archivo PLIST y reinicie. O puede cortarlo y pegarlo en su escritorio para tener una copia y estar seguro. No borre ningún artículo de la Agentes de lanzamiento del sistema o LaunchDaemons carpetas, ya que son necesarias para que MacOS se ejecute sin problemas.
Adware y PUP son notoriamente difíciles de abordar. En cualquier momento que tenga dudas, ejecute la versión gratuita de Malwarebytes y considere actualizar a Malwarebytes Premium si necesita protección adicional.
Manténgase cauteloso de las amenazas de lanzamiento en Mac
Si sigue estos pasos, sabrá de antemano sobre nuevas amenazas y podrá resolver cualquier problema. Adware y PUP están aumentando en popularidad, con nuevas variantes de malware que aparecen todo el tiempo..
Afortunadamente, macOS tiene muchas maneras de mantenerte seguro.
El truco es monitorear estas carpetas y ejecutar verificaciones de diagnóstico frecuentes. Si tiene dudas, siempre busque en Google los nombres de procesos potencialmente maliciosos. Pero si evita los errores que infectan su Mac con malware 5 maneras fáciles de infectar su Mac con Malware 5 maneras fáciles de infectar su Mac con Malware Usted puede pensar que es bastante difícil infectar su Mac con malware, pero siempre hay excepciones. Aquí hay cinco maneras en que puede ensuciar su computadora. Leer más, no debes preocuparte.
Explore más acerca de: Anti-Malware, Seguridad informática, Sugerencias para Mac, .