¿Cómo terminó este ominoso archivo en mi carpeta de Soporte de aplicaciones?

Navega tus respuestas
26
  

Eliminar este archivo romperá todas las redes, ¡por el bien de nuestros hijos, no lo hagan!

La cita anterior es el contenido de un archivo de texto llamado STR8369805638PUB6932583035105 que encontré hoy navegando el ~/Library/Application Support usando una terminal.

He encontrado un hilo en el foros de Apple de alguien que tiene exactamente el mismo problema También se analiza en un foro alemán .

El archivo no es visible con el Finder, lo descubrí porque hice un ls mientras estaba en ~/Library/Application Support .

Así es como se ve el archivo en un editor binario, lo único extraño es que el archivo termina con un CR (0D) aunque es bastante reciente (se creó en octubre):

¿Alguien tiene alguna idea de dónde puede venir este archivo?

    
pregunta Trasplazio Garzuglio 28.02.2013 - 16:44

2 respuestas

20

¡Encontré al culpable!

Gracias a la sugerencia de @Mark Thalkman, hice un script DTrace para monitorear las aplicaciones que acceden a ese archivo.

La aplicación que crea el archivo se llama AppWrapper . La forma en que lo descubrí fue mirar las carpetas creadas en octubre en /Library/Application Support . Solo hubo dos, appWrapper y eSellerate . Así que volví a descargar AppWrapper y, después de iniciarlo, el script detectó que estaba accediendo al archivo.

Estoy seguro de que el desarrollador cometió un error y en lugar de guardar el archivo dentro de la carpeta appWrapper , lo guardó en ~/Library/Application Support .

Para aquellos interesados, aquí está el guión: 

#!/usr/sbin/dtrace -s

\#pragma D option quiet

BEGIN
{
  printf("\n   Timestamp           gid   uid   pid  ppid execname     function           current directory file name\n\n");
}

syscall::open:entry,   
syscall::unlink:entry,  
syscall::rename:entry
/strstr(stringof(copyinstr(arg0)), $1) != NULL/
{
      printf("%Y %5d %5d %5d %5d %-12s %-10s %25s %s\n", walltimestamp, gid, uid, pid, ppid, execname, probefunc, cwd, stringof(copyinstr(arg0)));
}
    
respondido por el Trasplazio Garzuglio 28.02.2013 - 18:10
9

Es posible que no puedas seguir el proceso que escribió ese archivo, pero ¿por qué no intentarlo?

Obtenga una copia de fseventer o busque ese nombre de archivo en el foco de Time Machine para ver si puede reducir cuándo llegó a su Mac.

    
respondido por el bmike 28.02.2013 - 17:24

Lea otras preguntas en las etiquetas

¿Cómo puedo usar un iMac como monitor secundario para una computadora portátil con Windows 7? Deshabilitar servicios en OSX (services.msc)