¿Cómo deshabilitar o eliminar el YaraScanService (MRT.app)?

Navega tus respuestas
0

Recientemente en MacOS 10.13.6 Noté un alto uso de CPU e identifiqué que el proceso YaraScanService consume casi un 90% de CPU.

El Monitor de actividad lo enumera en:

/System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

como parte de MRT.app .

Según este hilo y otro parece ser un tipo de antivirus integrado de Apple que está realizando su análisis, pero no parece ser una forma de desactivarlo o eliminarlo, aparte de eliminarlo del Monitor de actividad o con pkill.

¿Algún puntero sobre cómo controlarlo o detenerlo / desactivarlo?

El MRT.app tiene una marca de tiempo el 10 de agosto de 2018 junto con un montón de otras carpetas (aparentemente la fecha en que acepté una actualización de Apple). La mayoría de los archivos dentro de la carpeta tienen la marca de fecha 4-Jul-2018 y 8-Jul-2018, supuestamente cuando la aplicación fue lanzada por Apple.

    
pregunta ccpizza 18.09.2018 - 01:31

2 respuestas

1

Respuesta publicada originalmente por user1901982 en Superusuario ¿Qué es el" Servicio YaraScanScan "que aparece en MacOS Mojave Beta? (10.14) y macOS High Sierra (10.13.6)?
Copiado aquí por conveniencia, como wiki de la comunidad.

MRT / YaraScan es una herramienta de derechos de autor antivirus de MacOS. El motivo de su uso obsceno de la memoria es básicamente el motivo por el que OSX no tiene un 'antivirus' formal.

Más simplemente, YaraScan es una parte del 'conjunto de volatilidad' aquí; enlace

Tenga en cuenta que tanto un virus como un material pirateado ilegalmente solo son detectados por un conjunto de rutas de código "distintivo" y que a menudo dependen de errores, vulnerabilidades y parches débiles, por lo que es de esperar que se haya desarrollado el antivirus moderno más potente. de una herramienta de detección de infracción de derechos de autor.

YaraScan se ejecuta una vez después de la actualización de Mojave, y luego se borra. La razón por la que usa tanta memoria es porque a menos que esté programado de otra manera (como en una opción de exclusión voluntaria), un proceso que tiene que escanear una increíble cantidad de contenido de un archivo para un archivo de tamaño desconocido que podría estar cifrado en dichos archivos buscados utilizará una gran cantidad de memoria inactiva para almacenar todos los archivos escaneados durante un tiempo limitado en caso de que se necesiten nuevamente. ¿Por qué? Debido a que la RAM vacía se desperdicia en la RAM, quiero decir que todavía tienes que darle vatios, ¿por qué eliminar las cosas cuando algo más no quiere estar allí? Se tarda 100 veces más en recuperarlo.

Más importante aún, si Filevault o APFS, algunos de esos datos están cifrados y deben ser descifrados para ser leídos. Muchas aplicaciones realmente necesitan iniciarse y luego escanearse cuando se cargan, ya que muchos archivos pueden unirse para formar una amenaza en el espacio de la memoria como un solo 'archivo concurrente'. El antivirus estándar no pudo detectar esto hasta que la aplicación ya se estaba ejecutando, y en esa etapa ya podría haber dañado su sistema.

Grand Central Dispatch decide la cantidad de tiempo en tu mac y, tan pronto como intentas usar un programa que necesita esa memoria RAM, se borrará.

    
respondido por el Tetsujin 18.09.2018 - 08:27
1

Como se menciona en este artículo YaraScanService es parte de MRT.app (Malware Removal Tool). Si está seguro de que su sistema no está infectado con malware y no desea que Apple realice la protección automática contra el malware sin pedirle su consentimiento, entonces puede desactivar y / o eliminar el servicio MRT con estos comandos: 

sudo launchctl stop com.apple.mrt
sudo launchctl remove com.apple.mrt

Los archivos .plist correspondientes se encuentran aparentemente en: 

/System/Library/LaunchDaemons/com.apple.MRTd.plist
/System/Library/LaunchAgents/com.apple.MRTa.plist

Si el método anterior no funciona para usted (al parecer, el daemon puede volver a activarse), entonces un enfoque más radical sería deshabilitar SIP con csrutil disable de < a href="https://support.apple.com/en-us/HT201255"> recovery mode , y elimine los permisos ejecutables en los archivos MRT y YaraScanService con: 

chmod -R -x+X /System/Library/CoreServices/MRT.app

Una vez que haya cambiado los permisos, se recomienda volver a habilitar SIP nuevamente con csrutil enable (desde modo de recuperación ).

    
respondido por el ccpizza 06.10.2018 - 20:46

Lea otras preguntas en las etiquetas

Accidentalmente permití que el software se cargara cuando se me pidió. ¿Cómo averiguo lo que permití (y lo bloqueo de nuevo si es necesario)? Wifi pierde la conexión a Internet (mientras está conectado al enrutador)