Cómo atrapar y eliminar Hidden LaunchDaemons y LaunchAgents en Mac

LaunchDaemons y LaunchAgents, que inician software automáticamente al iniciar sesión, pueden tener un lado oscuro. A continuación, le mostramos cómo controlarlos y mantenerse a salvo.

LaunchDaemons y LaunchAgents, que inician software automáticamente al iniciar sesión, pueden tener un lado oscuro.  A continuación, le mostramos cómo controlarlos y mantenerse a salvo.
Anuncio

¿Alguna vez has experimentado estas frustraciones en tu Mac?

  • Aparece una aplicación en la barra de menú, pero no en sus elementos de inicio de sesión.
  • Safari redirige a sitios de adware o cambia su página de inicio sin su permiso.
  • Los procesos desconocidos consumen CPU en segundo plano.

Lamentablemente, con este tipo de eventos inesperados, eliminar la aplicación de los elementos de inicio de sesión no es suficiente para resolver el problema. Hay muchos componentes ocultos subyacentes, y Apple no los expone en la interfaz típica de macOS.

Le mostraremos cómo puede supervisar y tomar medidas contra estos elementos de inicio de sesión ocultos para solucionar problemas únicos de Mac.

Comprender la rutina de inicio de macOS

Cuando presiona el botón de encendido, su Mac arranca con una serie de eventos familiares:

  • Escuchará un sonido de inicio audible (los Mac más nuevos no hacen esto).
  • El logo de Apple aparece junto con la barra de progreso.
  • Verá que aparece la pantalla de inicio de sesión cuando finaliza (o el escritorio si tiene habilitado el inicio de sesión automático).

Detrás de escena, macOS inicia el proceso de lanzamiento . Esto es responsable de iniciar, detener y administrar cualquier otro proceso, incluido el sistema y las cuentas de usuario individuales. El proceso está altamente optimizado y solo toma unos minutos.

Para examinarlo usted mismo, abra la aplicación Monitor de actividad y elija Ver> Todos los procesos . En la parte superior, verá dos procesos principales: kernel_task y launchd, con sus ID de proceso (PID) como 0 y 1 .

Esto muestra que launchd es el proceso principal primario cuando se inicia el sistema. También es el último proceso para salir cuando el sistema se apaga.

proceso de lanzamiento en Activity Monitor

La responsabilidad principal de launchd es lanzar otros procesos o trabajos de forma programada o bajo demanda. Estos vienen en dos tipos: LaunchDaemons y LaunchAgents .

¿Qué son LaunchDaemons y LaunchAgents?

LaunchDaemons normalmente se ejecuta como root, independientemente de si un usuario está conectado o no. No pueden mostrar información usando la interfaz gráfica de usuario y afectan a todo el sistema.

Por ejemplo, el proceso de ubicación detecta la ubicación geográfica de la Mac, mientras que el proceso bluetoothd administra Bluetooth. La lista de daemons vive en las siguientes ubicaciones:

  • /System/Library/LaunchDaemons para procesos macOS nativos
  • /Library/LaunchDaemons para aplicaciones de terceros instaladas

LaunchDaemons carpeta Mac

LaunchAgents se inicia cuando un usuario inicia sesión. A diferencia de los daemons, pueden acceder a la interfaz de usuario y mostrar información. Por ejemplo, una aplicación de calendario puede controlar la cuenta de calendario del usuario para detectar eventos y notificarle cuando ocurra el evento. La lista de agentes vive en las siguientes ubicaciones:

  • /Library/LaunchAgents para todas las cuentas de usuario
  • ~/Library/LaunchAgents para una cuenta de usuario específica
  • /System/Library/LaunchAgents para macOS solamente

LaunchAgents carpeta Mac

Antes de iniciar sesión, launchd ejecuta servicios y otros componentes especificados en archivos PLIST desde la carpeta LaunchDaemons. Una vez que haya iniciado sesión, launchd ejecutará los servicios y componentes definidos en los archivos PLIST de las carpetas LaunchAgents. Los que están en / System / Library son parte de macOS y están protegidos por System Integrity Protection Cómo deshabilitar la protección de integridad del sistema (y por qué no) Cómo deshabilitar la protección de integridad del sistema (y por qué no) Hay más razones para deje la Protección de Integridad del Sistema macOS en lugar de apagarlo, pero apagarlo es fácil. Lee mas .

Los archivos de preferencias siguen el sistema de nombres de dominio inverso estándar. Comienza con el nombre de la empresa, seguido de un identificador de aplicación y finaliza con la extensión del archivo de lista de propiedades (.PLIST). Por ejemplo, at.obdev.LittleSnitchHelper.plist es el archivo auxiliar para la aplicación LittleSnitch.

Carpeta System LaunchAgents Mac

Cómo atrapar LaunchDaemons y LaunchAgents

A diferencia de aquellos en la carpeta del sistema, las carpetas públicas LaunchDaemon y LaunchAgent están abiertas tanto para aplicaciones legítimas como ilegítimas. Puede controlar estas carpetas automáticamente con Acciones de carpeta.

Abra la aplicación AppleScript Editor buscándola en Spotlight. Haga clic en Preferencias y elija General> Mostrar el menú Script en la barra de menú .

habilitar el menú de guiones en la barra de menú Mac

Haga clic en el ícono del Menú de Script y elija Acciones de Carpeta> Activar Acciones de Carpeta . A continuación, seleccione Adjuntar secuencia de comandos a la carpeta en el mismo menú.

Adjuntar script a la carpeta en las carpetas de configuración de carpetas Mac

Aparecerá un cuadro de diálogo. Desde aquí, seleccione agregar - alerta de nuevo artículo .

seleccione la opción de alerta de nuevo artículo Mac

Haga clic en Aceptar para abrir una ventana del Finder. Ahora seleccione la carpeta LaunchDaemon del usuario (enumerada arriba) y haga clic en Elegir .

seleccione la carpeta launchdaemon para la acción de la carpeta Mac

Repita el procedimiento anterior para cada carpeta LaunchAgents.

Cuando termine, abra el Finder y haga clic en Ir> Ir a la carpeta o presione Mayús + Cmd + G para abrir el cuadro de diálogo de navegación. Escriba ~ / Library / LaunchAgents y haga clic en Ir .

Finder Ir a Carpeta LaunchAgents

Haga clic con el botón derecho en la carpeta LaunchAgents y seleccione Services> Folder Actions Setup para vincular el nuevo script de alerta de elementos a cada carpeta.

elija la configuración de las acciones de la carpeta para enlazar la secuencia de comandos Mac

En el cuadro de diálogo que aparece, verá la lista de carpetas en la columna izquierda y la secuencia de comandos en la columna de la derecha. Si no ve ningún script, haga clic en el botón Más y agregue el nuevo elemento alert.scpt .
configuración de las acciones de la carpeta desde la ventana de diálogo Mac

Considera monitorear estas carpetas con aplicaciones

Si desea algunas opciones adicionales para alertas en estas carpetas, puede probar algunas herramientas de terceros.

EtreCheck es una herramienta de diagnóstico de macOS que muestra el estado de carga de LaunchDaemons y LaunchAgents de terceros, entre otra información. Cuando ejecuta EtreCheck, recopila una variedad de información sobre su Mac 9 Detalles esenciales que debe conocer sobre su Mac 9 Detalles esenciales que debe conocer sobre su Mac Como usuario de Mac, debe conocer ciertos detalles sobre su computadora en caso de que necesite solucionar problemas Aquí hay varios detalles clave de Mac que debe verificar en este momento. Lea más y lo presenta en un informe fácil de leer. También tiene opciones de ayuda adicionales cuando se trata de adware, daemons y agentes sospechosos, archivos sin firmar y más.

Abra EtreCheck y haga clic en Escanear . Esto llevará unos minutos y, una vez hecho, verá un resumen completo de su computadora. Esto incluye problemas mayores y menores, especificaciones de hardware, problemas de compatibilidad de software, el estado de LaunchDaemons y LaunchAgents, y más.

La aplicación es gratuita para los primeros cinco informes, luego requiere una compra de $ 10 desde la aplicación para continuar su uso.

Informe de generación de etrecheck Mac

Lingon X es otra herramienta que le permite iniciar una aplicación, un script o ejecutar un comando de forma automática en un horario. También puede controlar todas las carpetas LaunchDaemons y LauchAgents en el fondo y mostrar una notificación cuando algo cambia. Puede ver todos los elementos gráficamente y ajustarlos según sea necesario.

Esta herramienta es gratuita, y cuesta $ 15 por una licencia completa.

Interfaz de Lingon X Mac

Cómo eliminar LaunchDaemons y LaunchAgents

Las carpetas públicas / Library / LaunchAgents y / Library / LaunchDaemons son vulnerables tanto a aplicaciones legítimas como ilegítimas. Una aplicación legítima podría usarla para marketing, mientras que las aplicaciones ilegales pueden usarla para robar datos e infectar el sistema.

Para que el adware y el malware tengan éxito, deben persistir en cada sesión de usuario. Para hacer esto, los autores de malware y adware crean código malicioso y lo colocan en la carpeta LaunchAgent o LaunchDaemon. Cada vez que se inicia su Mac, launchd garantizará que el código malicioso se ejecute automáticamente. Afortunadamente, las aplicaciones de seguridad pueden ayudar a proteger contra esto.

Use las aplicaciones de seguridad de Mac

El KnockKnock gratuito funciona según el principio de persistencia. Enumera las aplicaciones instaladas persistentemente y sus componentes en una interfaz ordenada. Haga clic en el botón Escanear, y KnockKnock escaneará todas las ubicaciones conocidas donde pueda haber malware.

El panel izquierdo contiene las categorías de aplicaciones persistentes, con nombres y una breve descripción. Haga clic en cualquier grupo para mostrar los elementos en el panel derecho. Por ejemplo, haga clic en Lanzar elementos en el panel izquierdo para ver todos los Agentes de lanzamiento y LaunchDaemons.

knockknock interfaz de usuario Mac

Cada fila proporciona información detallada sobre la aplicación. Esto incluye el estado firmado o no firmado, la ruta al archivo y los resultados del análisis antivirus de VirusTotal.

Otra aplicación de seguridad gratuita de Objective-See, BlockBlock monitorea continuamente las ubicaciones de persistencia. La aplicación se ejecuta en segundo plano y muestra una alerta cada vez que el malware agrega un componente persistente a macOS.

Alerta de la aplicación Blockblock

Sin embargo, no todos los archivos PLIST de terceros son maliciosos. Podrían venir de cualquier parte, incluyendo:

  • Componentes de aplicaciones instaladas
  • Restos de aplicaciones antiguas que ya no usa
  • Restos de actualizaciones macOS anteriores
  • Sobras del Asistente de Migración
  • PUP (programas potencialmente no deseados), adware y malware.

No desea eliminar ningún componente de las aplicaciones instaladas. Sin embargo, es perfectamente seguro eliminar los restos de aplicaciones antiguas y restos de actualizaciones anteriores de macOS (a menos que desee continuar usando esas aplicaciones).

No hay un proceso de desinstalación único para esto: simplemente basura el archivo PLIST y reinicia. O puede cortarlo y pegarlo en su escritorio para tener una copia y estar seguro. No elimine ningún elemento de las carpetas System LaunchAgents o LaunchDaemons, ya que son necesarios para que macOS funcione sin problemas.

Adware y PUP son notoriamente desafiantes de abordar. Cada vez que tenga dudas, ejecute la versión gratuita de Malwarebytes y considere actualizar a Malwarebytes Premium si necesita protección adicional.

Malwarebytes Mac gratis

Mantente prudente al lanzar amenazas en Mac

Si sigue estos pasos, sabrá nuevas amenazas con anticipación y podrá resolver cualquier problema. Adware y PUP están aumentando en popularidad, con nuevas variantes de malware que surgen todo el tiempo.

Afortunadamente, macOS tiene muchas formas de mantenerte a salvo.

El truco consiste en supervisar estas carpetas y ejecutar comprobaciones de diagnóstico frecuentes. Si tiene dudas, siempre busque en Google los nombres de procesos potencialmente maliciosos. Pero si evita los errores que infectan su Mac con malware 5 Maneras fáciles de infectar su Mac con Malware 5 maneras fáciles de infectar su Mac con Malware Puede pensar que es muy difícil infectar su Mac con malware, pero siempre hay excepciones. Aquí hay cinco maneras en que puede ensuciar su computadora. Lea más, no debería tener que preocuparse.

In this article