Como capturar e remover LaunchDaemons e LaunchAgents ocultos no Mac

LaunchDaemons e LaunchAgents, que iniciam o software automaticamente no login, podem ter um lado negativo. Veja como monitorá-los e manter-se seguro.

Propaganda

Você já experimentou essas frustrações no seu Mac?

Um aplicativo aparece na barra de menu, mas não em seus itens de login.
O Safari redireciona para sites de adware ou altera sua página inicial sem a sua permissão.
Processos desconhecidos consomem CPU em segundo plano.

Infelizmente, com esses tipos de eventos inesperados, remover o aplicativo dos itens de login não é suficiente para resolver o problema. Existem muitos componentes ocultos subjacentes e a Apple não os expõe na interface típica do macOS.

Mostraremos como você pode monitorar e tomar medidas contra esses itens de login ocultos para solucionar problemas exclusivos do Mac.

Entendendo a rotina de inicialização do macOS

Quando você pressiona o botão liga / desliga, o seu Mac inicializa com uma série de eventos familiares:

Você ouve um som audível de inicialização (os novos Macs não fazem isso).
O logotipo da Apple aparece junto com a barra de progresso.
Você verá a tela de login aparecer quando isso for concluído (ou a área de trabalho se você tiver o login automático ativado).

Nos bastidores, o macOS inicia o processo de lançamento . Isso é responsável por iniciar, interromper e gerenciar todos os outros processos, incluindo o sistema e contas de usuários individuais. O processo é altamente otimizado e leva apenas alguns instantes.

Para examinar isso, abra o aplicativo Activity Monitor e escolha View> All Processes . No topo, você verá dois processos principais: kernel_task e launchd, com seus IDs de processo (PIDs) como 0 e 1 .

Isso mostra que o launchd é o processo pai primário quando o sistema é iniciado. É também o último processo a sair quando o sistema é desligado.

processo launcd no Activity Monitor

A principal responsabilidade do launchd é lançar outros processos ou trabalhos em uma base programada ou sob demanda. Estes vêm em dois tipos: LaunchDaemons e LaunchAgents .

O que são LaunchDaemons e LaunchAgents?

Os LaunchDaemons geralmente são executados como raiz, independentemente de um usuário estar logado ou não. Eles não podem exibir informações usando a interface gráfica do usuário e afetam todo o sistema.

Por exemplo, o processo locationd detecta a localização geográfica do Mac, enquanto o processo bluetoothd gerencia o Bluetooth. A lista de daemons reside nos seguintes locais:

/System/Library/LaunchDaemons para processos macOS nativos
/Library/LaunchDaemons para aplicativos de terceiros instalados

Pasta LaunchDaemons Mac

Os LaunchAgents são iniciados quando um usuário efetua login. Ao contrário dos daemons, eles podem acessar a interface do usuário e exibir informações. Por exemplo, um aplicativo de calendário pode monitorar a conta do calendário do usuário em busca de eventos e notificá-lo quando o evento ocorrer. A lista de agentes reside nos seguintes locais:

/Library/LaunchAgents para todas as contas de usuário
~/Library/LaunchAgents para uma conta de usuário específica
/System/Library/LaunchAgents para macOS apenas

Pasta LaunchAgents Mac

Antes de efetuar login, o launchd executa serviços e outros componentes especificados em arquivos PLIST a partir da pasta LaunchDaemons. Uma vez logado, o launchd executará serviços e componentes definidos nos arquivos PLIST das pastas LaunchAgents. Aqueles em / System / Library são todos parte do macOS e protegidos pelo System Integrity Protection Como desativar a proteção de integridade do sistema (e por que você não deve) Como desativar a proteção de integridade do sistema (e por que você não deve) Há mais motivos para deixe a Proteção de Integridade do Sistema do macOS ativada, em vez de desligá-la, mas é fácil desligá-la. Consulte Mais informação .

Os arquivos de preferência seguem o sistema de nomenclatura de domínio reverso padrão. Começa com o nome da empresa, seguido por um identificador de aplicativo e termina com a extensão de arquivo da lista de propriedades (.PLIST). Por exemplo, at.obdev.LittleSnitchHelper.plist é o arquivo auxiliar do aplicativo LittleSnitch.

Pasta System LaunchAgents Mac

Como capturar o LaunchDaemons e o LaunchAgents

Diferentemente da pasta System, as pastas públicas LaunchDaemon e LaunchAgent estão abertas para aplicativos legítimos e ilegítimos. Você pode monitorar essas pastas automaticamente com ações de pasta.

Abra o aplicativo Editor do AppleScript procurando por ele no Spotlight. Clique em Preferências e escolha Geral> Mostrar menu de script na barra de menus .

ativar o menu de script na barra de menu Mac

Clique no ícone do menu Script e escolha Ações da pasta> Ativar ações da pasta . Em seguida, selecione Anexar Script à Pasta nesse mesmo menu.

Anexar script à pasta na configuração de ações da pasta Mac

Uma caixa de diálogo irá aparecer. A partir daqui, selecione adicionar novo alerta de item .

selecione a nova opção de alerta de item Mac

Clique em OK para abrir uma janela do Finder. Agora selecione a pasta LaunchDaemon do usuário (listada acima) e clique em Escolher .

selecione a pasta launchdaemon para a ação da pasta Mac

Repita o procedimento acima para cada pasta LaunchAgents.

Quando terminar, abra o Finder e clique em Ir> Ir para Pasta ou pressione Shift + Cmd + G para abrir a caixa de diálogo de navegação. Digite ~ / Library / LaunchAgents e clique em Ir .

Finder Ir para a pasta LaunchAgents

Clique com o botão direito do mouse na pasta LaunchAgents e escolha Serviços> Configuração de Ações da Pasta para vincular o novo script de alerta de item a cada pasta.

escolha a configuração das ações da pasta para vincular o script Mac

Na caixa de diálogo que aparece, você verá a lista de pastas na coluna da esquerda e o script na coluna da direita. Se você não vir nenhum script, clique no botão Mais e adicione o novo item alert.scpt .
configuração de ações de pasta a partir da janela de diálogo Mac

Considere o monitoramento dessas pastas com aplicativos

Se você quiser algumas opções adicionais para alertas nessas pastas, tente algumas ferramentas de terceiros.

O EtreCheck é uma ferramenta de diagnóstico do MacOS que exibe o status de carregamento de LaunchDaemons e LaunchAgents de terceiros, entre outras informações. Quando você executar EtreCheck, ele coleta uma variedade de informações sobre o seu Mac 9 Detalhes essenciais que você deve saber sobre o seu Mac 9 Detalhes essenciais que você deve saber sobre o seu Mac Como usuário do Mac, você deve saber alguns detalhes sobre o seu computador solucionar problemas. Aqui estão alguns detalhes importantes do Mac que você deve verificar agora. Leia mais e apresenta em um relatório fácil de ler. Ele também tem opções adicionais de ajuda ao lidar com adware, daemons e agentes suspeitos, arquivos não assinados e muito mais.

Abra o EtreCheck e clique em Scan . Isso levará alguns minutos e, quando terminar, você verá um resumo completo do seu computador. Isso inclui problemas maiores e menores, especificação de hardware, problemas de compatibilidade de software, status de LaunchDaemons e LaunchAgents e muito mais.

O aplicativo é gratuito para os cinco primeiros relatórios e, em seguida, requer uma compra de US $ 10 no aplicativo para uso contínuo.

etrecheck gerando relatório Mac

O Lingon X é outra ferramenta que permite iniciar um aplicativo, um script ou executar um comando automaticamente em um agendamento. Ele também pode monitorar todas as pastas LaunchDaemons e LauchAgents em segundo plano e mostrar uma notificação quando algo mudar. Você pode ver todos os itens graficamente e ajustá-los conforme necessário.

Essa ferramenta é gratuita e custa US $ 15 por uma licença completa.

Interface Mac Lingon X

Como remover LaunchDaemons e LaunchAgents

As pastas public / Library / LaunchAgents e / Library / LaunchDaemons são vulneráveis a aplicativos legítimos e ilegítimos. Um aplicativo legítimo pode usá-lo para marketing, enquanto aplicativos ilegais podem usá-los para roubar dados e infectar o sistema.

Para que o adware e o malware sejam bem-sucedidos, eles devem persistir em todas as sessões do usuário. Para fazer isso, os autores de malware e adware criam códigos maliciosos e os colocam na pasta LaunchAgent ou LaunchDaemon. Toda vez que seu Mac é iniciado, o launchd garante que o código malicioso seja executado automaticamente. Felizmente, os aplicativos de segurança podem ajudar a proteger contra isso.

Use aplicativos de segurança para Mac

O KnockKnock gratuito funciona no princípio da persistência. Ele lista persistentemente aplicativos instalados e seus componentes em uma interface limpa. Clique no botão Digitalizar e o KnockKnock verificará todos os locais conhecidos onde o malware pode estar presente.

O painel esquerdo contém as categorias de aplicativos persistentes, com nomes e uma breve descrição. Clique em qualquer grupo para exibir os itens no painel direito. Por exemplo, clique em Ativar Itens no painel esquerdo para visualizar todos os LaunchAgents e LaunchDaemons.

interface de usuário do knockknock Mac

Cada linha fornece informações detalhadas sobre o aplicativo. Isso inclui o status assinado ou não assinado, o caminho para o arquivo e os resultados da verificação antivírus do VirusTotal.

Outro aplicativo de segurança gratuito da Objective-See, o BlockBlock monitora continuamente os locais de persistência. O aplicativo é executado em segundo plano e mostra um alerta sempre que um malware adiciona um componente persistente ao macOS.

Alerta de aplicativo de bloqueio de bloco

Nem todo arquivo PLIST de terceiros é malicioso, no entanto. Eles podem vir de qualquer lugar, incluindo:

Componentes de aplicativos instalados
Restos de aplicativos antigos que você não usa mais
Sobras de upgrades anteriores do macOS
Sobras do Assistente de Migração
PUPs (programas potencialmente indesejados), adware e malware.

Você não deseja excluir nenhum componente dos aplicativos instalados. No entanto, é perfeitamente seguro remover os restos de aplicativos antigos e as sobras de atualizações anteriores do MacOS (a menos que você queira continuar usando esses aplicativos).

Não há um processo de desinstalação exclusivo para isso - basta descartar o arquivo PLIST e reinicializar. Ou você pode recortar e colar na sua área de trabalho para ter uma cópia e estar no lado seguro. Não exclua itens das pastas System LaunchAgents ou LaunchDaemons, pois eles são necessários para que o macOS seja executado sem problemas.

Adware e PUPs são notoriamente desafiadores para enfrentar. Sempre que tiver dúvidas, execute a versão gratuita do Malwarebytes e considere a possibilidade de atualizar para o Malwarebytes Premium se precisar de proteção extra.

Malwarebytes grátis Mac

Fique cauteloso com as ameaças de lançamento no Mac

Se você seguir estas etapas, você saberá sobre novas ameaças com antecedência e poderá resolver qualquer problema. Adware e PUPs estão crescendo em popularidade, com novas variantes de malware surgindo o tempo todo.

Felizmente, o macOS tem muitas maneiras de mantê-lo seguro.

O truque é monitorar essas pastas e executar verificações freqüentes de diagnóstico. Se estiver em dúvida, sempre use o Google como nomes de processos potencialmente maliciosos. Mas se você evitar os erros que infectam seu Mac com malware 5 Maneiras fáceis de infectar seu Mac com malware 5 Maneiras fáceis de infectar seu Mac com malware Você pode pensar que é muito difícil infectar seu Mac com malware, mas sempre há exceções. Aqui estão cinco maneiras de sujar seu computador. Leia mais, você não precisa se preocupar.