Come disabilitare o rimuovere YaraScanService (MRT.app)?

0

Recentemente su MacOS 10.13.6 ho notato un elevato utilizzo della CPU e identificato il processo YaraScanService come consumante vicino al 90% della CPU.

Il Monitor attività lo elenca sotto:

/System/Library/CoreServices/MRT.app/Contents/XPCServices/YaraScanService.xpc/Contents/MacOS/YaraScanService

come parte di MRT.app .

Secondo questo thread e un altro sembra essere una sorta di antivirus integrato di Apple che sta facendo la sua scansione, ma non sembra essere un modo per disabilitarlo o rimuoverlo a parte ucciderlo dal Monitor attività o con pkill.

Qualche suggerimento su come controllarlo o fermarlo / disabilitarlo?

MRT.app è timestamped il 10-ago-2018 insieme a un gruppo di altre cartelle (apparentemente la data in cui accettai un aggiornamento Apple). La maggior parte dei file all'interno della cartella sono timestamped 4-Jul-2018 e 8-Jul-2018, presumibilmente quando l'app è stata rilasciata da Apple.

    
posta ccpizza 18.09.2018 - 01:31
fonte

2 risposte

1

Risposta originariamente pubblicata da user1901982 in Super User - Che cos'è" YaraScanService "che appare in macOS Mojave Beta (10.14) e macOS High Sierra (10.13.6)?
Copiato qui per comodità, come wiki della comunità.

MRT / YaraScan è uno strumento antivirus protetto da copyright di MacOS. La ragione del suo osceno utilizzo della memoria è fondamentalmente il motivo per cui OSX non ha un "antivirus" formale.

Più semplicemente, YaraScan è una parte della "suite di volatilità" qui; link

Ti rendi conto che un virus e materiale illegalmente piratato sono entrambi rilevati solo da un insieme di percorsi di codice "firma" ed entrambi dipendono spesso da bug, exploit e patching deboli, quindi è normale che il più strong antivirus moderno sia cresciuto da uno strumento di rilevamento delle violazioni del copyright.

YaraScan viene eseguito una volta dopo l'aggiornamento di Mojave e quindi si elimina automaticamente. La ragione per cui usa così tanta memoria è perché, se non diversamente programmato (come nel caso di un opt-out), un processo che deve eseguire la scansione di una quantità incredibile di contenuti per un file di dimensioni sconosciute che potrebbe essere crittografato in tali file verrà utilizzato una grande quantità di memoria inattiva per archiviare tutti i file scansionati per un periodo di tempo limitato nel caso in cui siano necessari di nuovo. Perché? Poiché la RAM vuota è sprecata RAM, voglio dire che devi ancora dargli watt, quindi perché eliminare le cose su di esso quando qualcos'altro non vuole essere lì? Richiede 100 volte più tempo per riaverlo.

Ancora più importante, se si utilizza Filevault o APFS, alcuni di questi dati vengono crittografati e devono essere decodificati per essere letti. Molte app in realtà hanno bisogno di essere lanciate e quindi di essere sottoposte a scansione quando vengono caricate, poiché molti file possono riunirsi in una minaccia nello spazio di memoria come un unico "file concorrente". L'antivirus standard non è stato in grado di rilevarlo finché l'applicazione non era già in esecuzione e in quel momento avrebbe potuto danneggiare il sistema.

La quantità di tempo viene decisa attivamente da Grand Central Dispatch nel tuo Mac e non appena tenti di utilizzare un programma che ha bisogno di quella RAM lo cancellerà.

    
risposta data 18.09.2018 - 08:27
fonte
1

Come menzionato in questo articolo YaraScanService fa parte di MRT.app (Malware Removal Tool). Se sei sicuro che il tuo sistema non sia infettato da malware e non desideri che Apple ti protegga automaticamente dal malware senza chiedere il tuo consenso, puoi disabilitare e / o rimuovere il servizio MRT utilizzando questi comandi:

sudo launchctl stop com.apple.mrt
sudo launchctl remove com.apple.mrt

I corrispondenti file .plist si trovano apparentemente in:

/System/Library/LaunchDaemons/com.apple.MRTd.plist
/System/Library/LaunchAgents/com.apple.MRTa.plist

Se il metodo sopra non funziona per te (apparentemente il demone può riattivare se stesso), un approccio più radicale potrebbe essere disabilita SIP con csrutil disable da < a href="https://support.apple.com/it-IT/HT201255"> modalità di ripristino e rimuovere le autorizzazioni eseguibili sui file MRT e YaraScanService con:

chmod -R -x+X /System/Library/CoreServices/MRT.app

Dopo aver modificato le autorizzazioni, si consiglia di riattivare SIP nuovamente con csrutil enable (dalla modalità di ripristino ).

    
risposta data 06.10.2018 - 20:46
fonte

Leggi altre domande sui tag