¿Cliente iRat en El Capitan Logs?

1

MacBook Air - Principios de 2014, OS 10.11.3

Hola, encontré esto en mis registros de CoreTelephonyTraceScratch y lo encontré preocupante, basado en algunos resultados limitados de Google. No tengo un dispositivo iOS que conecto a esta máquina. No soy programador, ¿alguien puede tranquilizarme? Gracias.



    0.052 [I] evt: Firing event 'recalculateConnectionAvailability': with params= 0, Wifi Changed
    0.052 [I] DATA:TechDriver:handleWifiAvailable_sync: fWifiInterfaceName changes from en0 to 
    0.052 [I] DATA:TechDriver:TechDataDriver: <0x7fa3baf2a450> created
    0.052 [I] DATA:ServiceController:DataServiceController: <0x7fa3bae150b0> created
    0.052 [I] DATA:ServiceController:recalculateConnectionAvailability: fRadioModuleCreated is false, bailing for now (Wifi Changed)
    0.052 [I|17+] ent.ctr: Initializing Carrier Entitlements Controller
    0.052 [I] NOBB:NoBBRegistration_NOSUPPORT:NoBBRegistrationController: Object constructed <----------
    0.053 [I|17] ent.ctr: ================================================================================================
    0.053 [I|17] ent.ctr: Reset called upon with update: false and reason CheckEntitlementsReason::kSelfInitiated
    0.053 [I|17] ent.ctr: ================================================================================================
    0.053 [I|17] ent.ctr: Potentially instantiating Entitlements Command Driver
    0.053 [I|18+] ent.psh: Reset Push Listener
    0.053 [I|15+] csi.session: handleLoginSessionStateChange_sync(): Session is logged in
    0.053 [I|15] evt: Firing event 'loginSessionStateChange': with params= 1
    0.053 [I|15] csi.session: initialize(): loginSessionActive: true
    0.053 [I] evt: Firing event 'recalculateConnectionAvailability': with params= 1, Login session state changed to true
    0.053 [I] evt: Firing event 'recalculateConnectionAvailability': with params= 1, Login session state changed to true
    0.053 [I] DATA:iRatController:handleLoginSessionStateChanged_sync: Session is logged in. Start iRatClient
    0.053 [I] DATA:ServiceController:recalculateConnectionAvailability: fRadioModuleCreated is false, bailing for now (Login session state changed to true)
    0.053 [I] DATA:ServiceController:recalculateConnectionAvailability: fRadioModuleCreated is false, bailing for now (Login session state changed to true)
    0.053 [I] DATA:iRatClient:start_sync: Starting iRat Client
    0.053 [I] DATA:iRatClient:register_sync: register with server: {
    "kMessageId": 1u,
    "kMessageArgs": {
        "kWCMRegisterProcess_ProcessId": 7u
    }
}
    0.054 [I] 5wi: Constructor: fCountrySetFlag set to false
    0.055 [I|24+] sysobs: Polling for the states of screen, lock, reachability status, and battery saver mode
    0.055 [I|22+] 5wi: No retrieved value for SystemDeterminationManager::ConnectivityHelperType
    0.056 [I|22] 5wi: No retrieved value for kEnableIMSUserPreference, using default false
    0.056 [I|17] ent.ctr: No Entitlements Driver
    0.056 [I|17] ent.ctr: Adding FaceTimeOverCellular to not supported
    0.056 [I|25+] max: Switch support retrieved -----  3G switch support: DataRateSwitchSupport::kUnknown, LTE switch support: DataRateSwitchSupport::kUnknown
    0.056 [I|25] max: User preference for Enable 3G: DataRateUserPreference::kUnknown with  3G switch support: DataRateSwitchSupport::kUnknown
    0.056 [I|25] max: User preference for Enable LTE: DataRateUserPreference::kUnknown with LTE switch support: DataRateSwitchSupport::kUnknown
    0.056 [I|17] ent.ctr: Adding Tethering to not supported
    0.056 [I|17] ent.ctr: Adding Agent to not supported
    0.056 [I|17] ent.ctr: Adding VoWiFi to not supported
    0.056 [I|17] ent.ctr: Adding Thumper to not supported
    0.056 [I|17] ent.ctr: 
    0.056 [I|17] ent.ctr: Generating entitlement changed events
    0.056 [I|17] ent.ctr: 
    0.056 [I|17] evt: Firing event 'entitlement_changed': with params= 0000000000, 0000000000, 0111001100, EntitlementResults(Phone Number:Unknown, SubscriptionAndUsageStatus:Unknown, FaceTimeOverCellular:Unknown, Tethering:Unknown, Update Push Token:Unknown, Perform Auth-Only:Unknown, Agent:Unknown, VoWiFi:Unknown, Thumper:Unknown, VVM:Unknown, )
    0.056 [I|25] max: User Preference evaluated -----  3G switch user preference: DataRateUserPreference::kUnknown, LTE switch user preference: DataRateUserPreference::kUnknown
    0.057 [I|17] ent.ctr: Invalidating Entitlements State with reason CheckEntitlementsReason::kSelfInitiated
    0.057 [I|24] DisplayStateModel:changeFlag: DisplayIsOn, from true to true
    0.057 [I|24] evt: Firing event 'statusBarVisible': with params= 1

dpm05
fuente

Respuestas:

1

No, no tienes que preocuparte. Abra el Monitor de actividad, seleccione Todos los procesos en el menú en la parte superior y busque algo como "WirelessRadioManagerd". Si ve eso, ahí está la fuente de los registros.

Con respecto al contenido del registro: son registros de depuración (nivel de rastreo, como sugiere el registro) para algunas de las funciones de transferencia.

El programa WirelessRadioManagerd está hecho por Apple, puede encontrarlo en el directorio oculto del sistema / usr / sbin. Si está ejecutando El Capitan, este archivo definitivamente será genuino siempre y cuando no desactive la Protección de integridad del sistema o SIP (o el modo sin raíz como podría encontrarlo). Si nunca tocaste la terminal o usaste alguna aplicación sospechosa, lo más probable es que no esté deshabilitada.

Si desea asegurarse de que su dispositivo WirelessRadioManagerd sea genuino, puede cargarlo en VirusTotal y verlo usted mismo :) (consejo: cópielo en su escritorio para seleccionarlo fácilmente cuando lo cargue)

John Keates
fuente
gracias, y confirme que la Protección de integridad del sistema todavía está habilitada en mi sistema.
dpm05
-2

Parece que está instalado un cliente de control remoto (consulte https://github.com/tnextday/iRaT ): sí, estaría preocupado.

Dr. Nixon
fuente
Gracias por mirar, Dr. Nikon. ¿Vio código en ese repositorio de github que parecía relacionado con mi actividad de registro?
dpm05
Esto está mal. iRAT se usa con un componente de Apple llamado "WirelessRadioManagerd" que vive en / usr / sbin / WirelessRadioManagerd y está firmado por el código de Apple.
John Keates
No pude editar mi recomendación anterior, así que continúo con una nueva: aunque iRAT es también el nombre del malware (una RAT, como su nombre indica, que es una herramienta de acceso remoto), al menos una función del sistema también se llama iRAT y WirelessRadioManagerd definitivamente usan ese nombre internamente.
John Keates