¿Cómo terminó este archivo ominoso en mi carpeta de Soporte de aplicaciones?

26

Eliminar este archivo romperá todas las Internet, ¡por el bien de nuestros hijos, no lo hagas!

La cita anterior es el contenido de un archivo de texto llamado STR8369805638PUB6932583035105 que encontré hoy navegando ~/Library/Application Supportusando un terminal.

He encontrado un hilo en los foros de Apple de alguien que tiene exactamente el mismo problema. También se discute en un foro alemán .

El archivo no es visible usando el Finder, lo descubrí porque llevo un lstiempo adentro ~/Library/Application Support.

Así es como se ve el archivo en un editor binario, lo único extraño puede ser que el archivo termine con un CR (0D) aunque es bastante reciente (se creó en octubre):

Vista del editor binario

¿Alguien tiene alguna idea de dónde puede venir este archivo?

terminal finder file Trasplazio Garzuglio
fuente
55
Lo eliminaría si fuera tú.
Emil
44
¿Instaló o ejecutó por primera vez alguna aplicación en particular en octubre? Una teoría: el archivo puede ser un archivo centinela para un programa que use. Por ejemplo, si tiene una demostración de algún software por tiempo limitado, los programadores de tales herramientas a menudo necesitan un lugar (¡y uno bien oculto!) Para almacenar la fecha en que ejecutó el programa por primera vez, para saber cuándo se agota el período de evaluación, cuándo para pedirle que se registre, cuándo deshabilitar la funcionalidad si no se registró, etc. La fecha en este archivo puede ser el dato importante, y el contenido es una broma.
Chris W. Rea
Ji, ji: espero que sea un desarrollador que tenga sentido del humor.
bmike
@bmike, sí, eso espero, pero me gustaría saber si alguien tiene el mismo archivo.
Trasplazio Garzuglio
44
Si es desarrollador, puede usar dtrace para averiguar quién está accediendo a ese archivo. Si no conoce dtrace, es una herramienta increíble para descubrir lo que está sucediendo a nivel del sistema.
Ɱark Ƭ

Respuestas:

20

¡Encontré al culpable!

Gracias a la sugerencia de @Mark Thalkman, hice un script DTrace para monitorear las aplicaciones que acceden a ese archivo.

La aplicación que crea el archivo se llama AppWrapper . La forma en que lo descubrí fue mirando las carpetas creadas en octubre en /Library/Application Support. Solo había dos, appWrappery eSellerate. Así que descargué AppWrapper nuevamente y después de iniciarlo, el script detectó que estaba accediendo al archivo.

Estoy seguro de que el desarrollador cometió un error y, en lugar de guardar el archivo dentro de la appWrappercarpeta, lo guardó ~/Library/Application Support.

Para aquellos interesados, aquí está el guión:

#!/usr/sbin/dtrace -s

\#pragma D option quiet

BEGIN
{
  printf("\n   Timestamp           gid   uid   pid  ppid execname     function           current directory file name\n\n");
}

syscall::open:entry,   
syscall::unlink:entry,  
syscall::rename:entry
/strstr(stringof(copyinstr(arg0)), $1) != NULL/
{
      printf("%Y %5d %5d %5d %5d %-12s %-10s %25s %s\n", walltimestamp, gid, uid, pid, ppid, execname, probefunc, cwd, stringof(copyinstr(arg0)));
}
Trasplazio Garzuglio
fuente
55
.. y la pregunta para los más curiosos ahora es: ¿para qué necesita ese archivo?
Chris W. Rea
1
Tenía curiosidad por esto, así que les envié un correo electrónico para ver si podían arrojar algo de luz sobre este archivo. Eran muy vagos:
Tony
Estimado Tony: Mi nombre es Sam Rowlands y soy uno de los desarrolladores aquí en Ohanaware, gracias por tu correo electrónico. Pido disculpas por la demora en la respuesta a su correo electrónico. El archivo en cuestión es parte de nuestro sistema de registro, eliminarlo puede causar problemas con el registro de App Wrapper. Gracias por apoyar Ohanaware y nuestro software. Sam Rowlands
Tony
1
Irónicamente, parte de la funcionalidad de App Wrapper es simplificar las aplicaciones de sandboxing para MAS.
Timothy Mueller-Harder
9

Es posible que no pueda rastrear el proceso que escribió ese archivo, pero ¿por qué no intentarlo?

Tome una copia de fseventer o busque ese nombre de archivo en el campo de foco de Time Machine para ver si puede reducir cuando llegó a su Mac.

bmike
fuente
1
Time Machine es una buena sugerencia, desafortunadamente no está configurada en la máquina donde encontré este archivo.
Trasplazio Garzuglio