Cómo XProtect de macOS busca y detecta virus

Los virus y otros programas maliciosos son una amenaza constante para las computadoras, que los internautas deben solucionar cada vez que se conectan a Web.

Un virus informático es un pequeño fragmento de código que se instala silenciosamente en su computadora. Uno en el que se ejecuta o se integra en otro software program y causa estragos.

El software program malicioso está escrito por malos actores que intentan dañar computadoras, sistemas u otros dispositivos electrónicos. Una vez que un virus se propaga, puede propagarse rápidamente a millones de computadoras, a menudo sin ser detectado hasta que sea demasiado tarde.

Como respuesta a los virus y otros programas maliciosos, muchos proveedores de software program y sistemas operativos han desarrollado software program antivirus o antimalware. Estos pueden escanear y “limpiar” una computadora de código malicioso.

Una forma en que el software program antivirus hace esto es buscar firmas, tamaños y códigos de aplicaciones conocidas. Luego se comparan con bases de datos descargadas de malware conocido.

Si se encuentra una coincidencia, el software program incorrecto se puede eliminar de la computadora.

Dos de los primeros paquetes de software program antivirus que datan de hace décadas en Mac son antivirus norton y Virex. McAfee es otra aplicación antivirus que existe en Mac desde hace años y todavía está disponible en la actualidad.

A partir de Mac OS X 10.6 Snow Leopard en 2009, Apple agregó su propia protección antivirus llamada XProtect.

XProtect se ejecuta en segundo plano, analiza cada vez que se inicia una aplicación por primera vez, cuando una aplicación cambia en el sistema de archivos o cuando una nueva base de datos de firmas XProtect descargable está disponible.

Estos son los Respuestas de seguridad a menudo verás listado en Configuración del sistema->Normal->Actualizaciones de software program

Algunos usuarios han informado de un alto uso de CPU del servicio XProtect en segundo plano (XProtectService) como se ve en la utilidad Exercise Monitor, pero personalmente, no lo hemos visto todavía.

Como XProtect se ejecuta silenciosamente en segundo plano, observa el sistema de archivos y las aplicaciones a medida que se ejecutan, comprobando su Mac en busca de malware incluido en la base de datos de firmas de XProtect. Si se encuentra una coincidencia, XProtect le solicita que elimine el malware de su computadora.

Al utilizar un monitor de fondo silencioso para detectar malware, XProtect mantiene su Mac segura y libre de aplicaciones potencialmente dañinas.

Dado que XProtect es parte de macosy dado que Apple aloja e instala sus archivos de firmas, no necesita preocuparse por nada: su Mac se encarga de todo por usted.

Puede ver qué archivos de firma XProtect se han descargado en su Mac manteniendo presionado el botón Opción tecla y seleccionando Información del sistema desde menú de manzana en la barra de menú.

Esto ejecuta la aplicación Información del sistema en /Utilidades. Desplácese hasta Software program->Instalaciones a la izquierda para ver Cargas útiles de XProtect y XProtectPlistConfigData que muestran la versión y la fecha/hora en que se descargó cada base de datos de firmas XProtect de Apple.

Ejecute Información del sistema para ver descargas recientes de XProtect.

Cuando los desarrolladores externos crean una aplicación para Mac, pueden enviarla a Apple para su notarización. Las aplicaciones enviadas a Apple de esta manera se analizan en busca de malware y Apple firma las versiones conocidas de la aplicación para incluirlas en el archivo de firmas de XProtect.

Apple proporciona a los desarrolladores dos herramientas de línea de comandos para la certificación notarial: altool (obsoleto), y el más nuevo notarytool que se envió después Xcode 13. altool ya no se envía con macos 15 Sequoia y Apple tienen un nota técnica (TN3147) sobre la migración de la herramienta antigua a la nueva.

Puede obtener ayuda sobre el uso notarytool en la aplicación Terminal de macOS escribiendo:

man notarytool y presionando Devolver.

Prensa Management-Z en su teclado para salir de la página de guide.

La notarización funciona junto con Gatekeeper y Developer ID de Apple para garantizar que las aplicaciones de Mac se distribuyan fuera de Mac. Tienda de aplicaciones son auténticos y no contienen malware, incluidos virus.

Una vez que Apple ha certificado ante notario una aplicación de terceros, los desarrolladores pueden publicarla fuera de la Mac App Retailer.

La notarización y Gatekeeper, junto con XProtect, son los que hacen que aparezca el cuadro de diálogo “Verificando…” en el Finder la primera vez que ejecuta una aplicación que no se lanzó a través de Mac App Retailer.

El proceso de escaneo de la aplicación escanea el paquete (carpeta) de la aplicación en busca de componentes maliciosos y evita que se ejecute si se encuentra alguno. También compara el contenido de la aplicación con firmas de malware conocidas contenidas en la base de datos de firmas de XProtect.

Esta es una de las razones por las que el proceso de “Verificación” puede tardar tanto en el caso de aplicaciones más grandes la primera vez que las ejecuta.

Cuando haces doble clic en una aplicación Mac certificada por notario en macOS Finder, verás el mensaje “Esta aplicación es una aplicación descargada de Web. ¿Estás seguro de que quieres abrirla?” diálogo. Esto le brinda la oportunidad de dejar de ejecutar la aplicación si así lo desea.

Si haces clic DE ACUERDO el Finder inicia la aplicación y, si ha sido certificada ante notario, XProtect comienza a escanearla en busca de componentes maliciosos.

crédito de imagen: avagustafson

Anteriormente, period posible desactivar Gatekeeper por completo, pero Apple eliminó esta capacidad en 2016. El software program de terceros para Mac que no sea Gatekeeper no se ejecutará en las versiones actuales de macOS si no ha sido certificado ante notario o no se ha creado con el ID de desarrollador sin avisarle primero. .

Si recibes las advertencias “Mover a la Papelera” o no verificadas en el Finder al iniciar una aplicación para Mac, deberás ir a Configuración del sistema->Privacidad y seguridad. Haga clic en Abierto de todos modos e ingrese una contraseña de administrador para su Mac.

Apple ahora también requiere que los desarrolladores externos agreguen el LSQuarantine (com.apple.quarantine) atributo del sistema de archivos extendido a las descargas de sus aplicaciones antes de distribuirlas en Web. Este atributo hace que Gatekeeper escanee la aplicación antes de ejecutarla.

Sin embargo, todavía es posible que los desarrolladores publiquen software program para Mac en Web sin agregar este atributo.

En conjunto, estas características de seguridad significan que es mucho más difícil para los actores de malware infectar su Mac con software program incorrecto.

XProtect se ejecuta al menos una vez al día y cuando la actividad del usuario en una Mac es baja, según Apple.

XProtect utiliza un conjunto de reglas de Yara Worldwide ASA para comparar su base de datos con las aplicaciones de su Mac. YARA utiliza detección basada en firmas para localizar malware incrustado en el código.

Cuando XProtect escanea aplicaciones en su Mac en busca de malware, utiliza las reglas YARA para verificar cada aplicación en busca de un conjunto de comparaciones. Estos podrían generar pistas que apunten a códigos maliciosos incrustados en aplicaciones o en paquetes de aplicaciones.

CISA tiene un documento algo desactualizado sobre el uso YARA para la detección de malware. Realmente no necesitas conocer los detalles internos para que YARA sea útil ya que Apple maneja su uso en macOS.

XProtect descarga y actualiza sus propios archivos de firmas.

Si intenta iniciar una aplicación que contiene malware conocido, XProtect ejecutará el Remediador XProtect y le avisará en el Finder que cree que la aplicación puede contener malware. Finder te preguntará si quieres moverlo a la Papelera.

Si haces clic Mover a la papelerael Finder moverá la aplicación a la Papelera de macOS pero no la eliminará. Debes utilizar el Buscador->Vaciar papelera elemento del menú para eliminar la aplicación de tu Mac.

XProtect Remediator le indica en el Finder qué malware encontró XProtect en una aplicación en specific cuando intentó iniciarla. Luego puedes decidir si moverlo a la Papelera o no.

Howard Oakley de Eclectic Mild Firm tiene una bonita pagina sobre lo que sucede cuando se ejecuta XProtect Remediator.

Oakley también tiene un nota de 2022 sobre los cambios que Apple realizó en XProtect y qué malware busca, aunque la lista no es exhaustiva.

macOS también incluye una interfaz de línea de comandos (CLI) para XProtect llamada xprotect. Puede ejecutar esta herramienta en la Terminal con un comando para obtener información sobre la ejecución de XProtect en su Mac.

Para una lista de xprotect Comandos en tipo de terminal:

man xprotect y presione Devolver en tu teclado.

Brevemente, los comandos son:

1. actualización: fuerza la descarga de nuevos archivos XProtect
2. comprobar – imprimir la versión de actualización en línea actualmente disponible
3. versión: imprime la versión actualmente instalada de los archivos XProtect
4. registros: muestra registros de XProtect
5. estado: imprime el estado precise de XProtect
6. ayuda: imprime ayuda para un subcomando

Tenga en cuenta que todos xprotect Los comandos deben ejecutarse usando el sudo comando y una contraseña de administrador en la Terminal para que funcionen.

Por ejemplo, corriendo sudo xprotect replace huellas dactilares:

No replace utilized, already updated

cuando no hay partes nuevas de XProtect para descargar.

Como señala Apple, cuando XProtect detecta malware, Apple puede responder de varias maneras, incluidas, entre otras:

1. Se revocan todos los certificados de ID de desarrollador asociados.
2. Se emiten boletas de revocación de notarización para todos los expedientes.
3. Las firmas XProtect se desarrollan y publican

En common, también puedes verificar las políticas de seguridad del sistema de tu Mac en la Terminal usando el spctl herramienta de línea de comando:

spctl --status (Management de políticas del sistema).

Si el escaneo de seguridad está habilitado, verá esta respuesta:

spctl tiene una gran variedad de opciones y herramientas, por lo que querrás comprobar el man Salga de la página en la Terminal para obtener más información.

La respuesta es: principalmente. Pero no lo hagas.

A menos que su Mac esté siempre fuera de línea, rara vez instale software program o vea problemas de rendimiento específicos, no hay ninguna razón actual para desactivar XProtect. Al hacerlo, tu Mac queda expuesta a una avalancha de malware conocido y desconocido en Web, y si lo haces, solo te buscarás problemas.

Dicho esto, si absolutamente debe deshabilitar XProtect, puedes hacerlo en la Terminal con el siguiente comando:

sudo spctl --master-disable

Para volver a habilitar el uso de XProtect:

sudo spctl --master-enable

Incluso si deshabilita XProtect, querrá hacerlo por el menor tiempo posible; siempre vuelva a habilitarlo tan pronto como haya terminado con cualquier tarea que requiera su deshabilitación.

Aunque XProtect es administrado por Apple y es parte de macOS, es posible que en ocasiones desees ejecutar un escáner de malware de terceros en tu Mac para buscar software program malicioso.

Los escáneres probados como Norton y McAfee existen desde hace décadas, por lo que siempre son una apuesta segura. También hay otros más pequeños de terceros que son buenos, como Escaneo de privacidad ($ 15) de SecureMac.com.

Si utiliza un escáner de terceros, intente utilizar uno que se vende en la Mac App Retailer, ya que Apple revisa todas las aplicaciones de la App Retailer para asegurarse de que tampoco contengan malware.

Apple ha hecho un buen trabajo con XProtect y, en su mayor parte, es silencioso y confiable. Es posible que desee activar las actualizaciones de seguridad automáticas en Configuración del sistema solo para asegurarse de que su Mac reciba todos los nuevos archivos de vulnerabilidad y actualizaciones tan pronto como Apple los publique.