Como funciona MRTAgent, la utilidad de Apple contra el troyano Flashback

Apple ha cumplido su promesa y junto con una tercera actualización de Java en los últimos días, ha incluido en el instalador una utilidad llamada MTRAgent que es el arma con el que Apple quiere eliminar toda traza de Flashback. La utilidad, sin embargo, está solo disponible para Mac OS X 10.6 Snow Leopard y Mac OS X 10.7 Lion.

Cuando se descarga cualquiera de las dos nuevas actualizaciones, Java para OS X Lion 2012-003 o Java para Mac OS X 10.6 Update 8, la actualización instala además un nuevo programa llamado MRTAgent en el disco duro, concretamente en la ubicación /System/Library/CoreServices/.

Además de añadir esta aplicación, la actualización incluye una pequeña herramienta de línea de comandos llamada MRT en /usr/libexec/ y añade un par de archivos de activación para lanzar esta herramienta en las siguientes ubicaciones:

/System/Library/LaunchAgents/com.apple.mrt.uiagent.plist
/System/Library/LaunchDaemons/com.apple.mrt.plist

Estos archivos de activación trabajan de forma conjunta para activar MTRAgent cuando se arranca OS X, hasta que el propio programa se cierra por si mismo. Cuando MTRAgent está funcionando, hace un escaseado en busca del Troyano Flashback y elimina cualquier instalación que pueda encontrar del mismo además de subir un archivo con los resultados (.log) a los servidores de Apple.

Una vez terminado el escaneo del sistema, tanto la herramienta de línea de comandos como la aplicación MTRAgent y el par de archivos de activación son borrados del ordenador.

Aunque el proceso de escaneo de esta aplicación en busca del Troyano Flashback debería ser rápida y no causar problemas al usuario, podría darse el caso de que el proceso se estancara en un punto determinado causando un alto uso de CPU y ralentizando el sistema. En el caso de ocurrir esta situación, es posible aproximarse al problema desde otra perspectiva, parando el proceso de escaseado primero usando el comando

sudo launchctl stop com.apple.mrt

Si no es posible parar el proceso (porque está totalmente atascado) la opción es abrir el Monitor de Actividad y matar totalmente el proceso desde la ventana. Una vez parado el proceso en mitad del escaneo, es conveniente realizar una reparación de permisos del disco usando la Utilidad de Disco, o utilizar una utilidad general de mantenimiento que elimine adicionalmente cualquier tipo de caché o archivo temporal que pueda ser el responsable de la ralentización a la hora de hacer el escaneo.

Una vez hecha esta limpieza, es conveniente reiniciar el ordenador y volver a ejecutar (si no se ha ejecutado ya en el reinicio) usando el comando en el terminal:

sudo launchctl start com.apple.mrt

Eliminar de forma manual MRT

Si estás seguro que tu ordenador está limpio de Flashback y tienes problemas con la ejecución de MRT, puedes eliminar la aplicación y los archivos asociados de forma manual usando los comandos de Terminal:

sudo rm /System/Library/LaunchDaemons/com.apple.mrt.plist
sudo rm /System/Library/LaunchAgents/com.apple.mrt.uiagent.plist
sudo rm /System/Library/CoreServices/MRTAgent.app
sudo rm /usr/libexec/MRT

Aunque es posible realizar esta tarea, a través de las correspondientes rutas, usando el Finder.

Vía MFXT

6 Comments

  1. digitalmaxima

    Superinteresantísima información, muchas gracias.

    El cuanto al sistema, me parece un poco endeble, y sobre todo, tener que depender de una actualización de software cada vez que salgan nuevas variantes me parece un poco … triste.

  2. cemiguel

    Efectivamente la última actualización de [i]Java for OS X 2012-003[/i] añade un [i]JavaSecurity.pkg[/i] al contenido de las versiones anteriores. Este [i]JavaSecurity.pkg[/i] es el que contiene la [i]MRTAgent.app[/i] y los archivos asociados.

    El caso es que he instalado esta actualización en Mac OS X 10.7.3 y en 10.6.8, pero no instala la [i]MRTAgent.app[/i] ni los archivos asociados.

    He hecho las actualizaciones desde una cuenta de administrador, después de reparar permisos, desde Actualización de Software y descargando el archivo desde MacUpdate (no he encontrado la actualización en la página de descargas de Apple en español). Nada, no instalan [i]MRTAgent.app[/i] en mis discos duros. ¿Fallo del instalador?

    El 17-mayo-2011 ya hablaban de este MRTAgent en [url]https://discussions.apple.com/message/15313319[/url] como posible causa de ralentización del sistema después de instalar la [i]Actualización de seguridad 2011-003 (Snow Leopard)[/i].

  3. cemiguel

    Un poco más de investigación y me contesto a mí mismo y a [b]Fakimaki[/b].

    He localizado el instalador de [i]Java for OS X Lion 2012-003[/i] en la página de descargas de Apple en inglés <[url]http://support.apple.com/kb/DL1515[/url]>.

    He repetido la instalación mientras observaba qué archivos se instalaban y [b]sí[/b] ha instalado la [i]MRTAgent.app[/i]. Lo que pasa es que la ha borrado antes de terminar la instalación, tal como comentaba Thomas A Reed en [url]https://discussions.apple.com/message/15317767#15317767[/url].

    Estos calentamientos de cabeza me ocurren por curioso. 🙂

  4. Carlos Burges Ruiz de Gopegui Post author

    [quote] Una vez terminado el escaneo del sistema, tanto la herramienta de línea de comandos como la aplicación MTRAgent y el par de archivos de activación son borrados del ordenador.[/quote]

    Y como pone en el artículo, se autoborrán nada mas arrancar, prácticamente. El chekeo del Troyano se hace casi de forma instantánea y los archivos se autoeliminan posiblemente antes incluso de que cargue el Finder.

Deja una respuesta