Revisar extensões do kernel
As extensões do kernel (geralmente chamadas de kexts) são programas que ampliam os recursos do kernel do macOS e, como tal, são executados com o privilégio mais alto, o que os torna interessantes para malware. A ferramenta KextViewr desenvolvida pela Objective-See permite listar todas as extensões do kernel carregadas.
NB: a interface do Kext Viewer não está disponível em português.
Como iniciar o Kext Viewer
Para iniciar o KextViewr, primeiro faça o download em sua página oficial. Em seguida, extraia o programa do arquivo e clique duas vezes nele:

Análise dos resultados
1. Verificar assinaturas de imagem
Da mesma forma que em outras ferramentas, o KextViewr exibe o status da assinatura com um ícone próximo ao nome, um ícone verde bloqueado significa que a extensão é assinada pela Apple, um cadeado preto fechado
significa que a extensão é assinada por outra empresa, enquanto um cadeado laranja aberto
significa que a extensão não é assinada.
Para visualizar apenas as extensões de kernel de terceiros, você pode desmarcar a caixa de seleção Show OS Kexts
na parte superior da janela do KextViewr.

2. Verificar os nomes dos programas e os caminhos
Como nas etapas anteriores, você deve verificar o nome e os caminhos das kexts. O nome deve lhe dar uma indicação da utilidade da kext; qualquer erro de digitação ou cadeia aleatória aqui é suspeito.
Para os caminhos de extensão, os Kexts do sistema operacional devem ser executados a partir de /Sistema
(/System
, na versão em inglês), enquanto os Kexts que não são do sistema operacional devem ser executados a partir de /Biblioteca
(/Library na versão em inglês).
3. Verificar os resultados da verificação do VirusTotal
O KextViewr também verifica a impressão digital do arquivo no VirusTotal. À direita de cada tarefa em execução, você verá dois números que representam primeiro o número de antivírus que identificaram esse arquivo como malicioso e, em seguida, o número total de antivírus testados. Um ponto de interrogação aparecerá se esse programa não for conhecido pelo VirusTotal.
Você deve investigar mais a fundo qualquer tarefa identificada por pelo menos um antivírus como maliciosa ou não conhecida pelo VirusTotal.
Observe: as mesmas considerações e avisos explicados na seção Revisar programas abertos na inicialização também se aplicam aqui. Certifique-se de lê-los antes de prosseguir.
Last updated