¿Cómo desactivar o eliminar el YaraScanService?

Como se menciona en este artículo YaraScanService forma parte de la aplicación MRT.app (Malware Removal Tool). Si estás seguro de que tu sistema no está infectado con malware y no quieres que Apple haga la protección automática contra malware por ti sin pedir tu consentimiento, entonces puedes desactivar y/o eliminar el servicio MRT utilizando estos comandos:

sudo launchctl stop com.apple.mrt
sudo launchctl remove com.apple.mrt

El correspondiente .plist se encuentran aparentemente en:

/System/Library/LaunchDaemons/com.apple.MRTd.plist
/System/Library/LaunchAgents/com.apple.MRTa.plist

Si el método anterior no funciona para usted (al parecer, el demonio puede volver a habilitarse a sí mismo), entonces un enfoque más radical sería desactivar SIP con csrutil disable de modo de recuperación y elimine los permisos de ejecución de los archivos MRT y YaraScanService:

chmod -R -x+X /System/Library/CoreServices/MRT.app

Una vez cambiados los permisos se recomienda volver a habilitar SIP de nuevo con csrutil enable (de modo de recuperación ).

Respuesta enviada originalmente por usuario1901982 en Super Usuario - ¿Qué es "YaraScanService" que aparece en MacOS Mojave Beta (10.14) y MacOS High Sierra (10.13.6)?
Copiado aquí por conveniencia, como wiki de la comunidad.

MRT/YaraScan es una herramienta antivirus y de derechos de autor proporcionada por MacOS. La razón de su obsceno uso de la memoria es básicamente por qué OSX no tiene un "antivirus" formal.

Más simplemente, YaraScan es una parte de la "suite de volatilidad" aquí; https://www.volatilityfoundation.org/about

Date cuenta de que tanto los virus como el material pirateado ilegalmente sólo se detectan mediante un conjunto de rutas de código de "firma" y que ambos dependen a menudo de errores, exploits y debilidades Parcheando, por lo que es de esperar que el antivirus moderno más potente haya surgido de una herramienta de detección de infracciones de derechos de autor.

YaraScan se ejecuta una vez después de la actualización de Mojave, y luego se borra a sí mismo. La razón por la que utiliza tanta memoria es porque, a menos que se programe de otra manera (como en el caso de una exclusión voluntaria), un proceso que tiene que escanear una increíble cantidad de contenido de archivos en busca de un archivo de tamaño desconocido que pueda ser encriptado en dichos archivos buscados, utilizará una gran cantidad de memoria inactiva para almacenar todos los archivos escaneados durante una cantidad limitada de tiempo en caso de que se necesiten de nuevo. ¿Por qué? Porque la RAM vacía es una RAM desperdiciada, quiero decir que todavía tienes que darle vatios, así que ¿por qué borrar lo que hay en ella cuando algo más no quiere estar ahí? Se tarda 100 veces más en recuperarla.

Más importante aún, si se trata de Filevault o APFS, algunos de esos datos están encriptados y deben ser desencriptados para poder ser leídos. De hecho, muchas aplicaciones necesitan ser lanzadas y luego escaneadas cuando se cargan, ya que muchos archivos pueden juntarse para formar una amenaza en el espacio de memoria como un único "archivo concurrente". El antivirus estándar no podía detectar esto hasta que la aplicación ya se estaba ejecutando, y en ese momento ya podría haber dañado el sistema.

La cantidad de tiempo es decidida activamente por Grand Central Dispatch en tu mac y tan pronto como intentes usar un programa que necesite esa RAM lo borrará.

Hace poco actualicé un iMac de la versión 10.12.6 a la 10.13.6 y se me congelaba mucho, normalmente 6 ó 7 minutos después del arranque. YaraScanServices era el culpable. Pero en lugar de desactivar o intentar eliminar MRT, encontré una solución en Internet para eliminar todos los archivos de mi directorio de descargas y reiniciar normalmente. Esto hizo el truco para mí. Como hice una copia de seguridad de todos los archivos antes de la actualización en un disco remoto, pude copiar todos los archivos de nuevo en el directorio de descargas después de que se completara el análisis inicial. Existe el riesgo de que los archivos no escaneados contengan virus, pero no parece ser el caso.

"Después de haber vivido con 10.13.6 (hasta donde pude llevar mi hw) y la pesadilla de yarascanservice (usando Automator para script un 'cierre forzado' del servicio poco después de cada arranque), también me encontré con grandes problemas al no poder instalar Actualizaciones de Seguridad (corrompiendo el sistema operativo - ampliamente experimentado, gracias Apple). Por lo tanto, tuve que evitar cualquier aspecto de auto-actualización, y puede que haya jugado demasiado con las Preferencias del Sistema. Preferencias del Sistema / App Store - entre las diversas opciones que había derrotado, una opción mal redactada es: 'Instalar archivos de datos del sistema y actualizaciones de seguridad' Me encontré con un artículo en tidbits explicando qué función esta opción sirvió, recomendando a habilitarlo ( https://tidbits.com/2016/03/30/make-sure-youre-getting-os-x-security-data/ ). Parece que esto permite actualizar MRT (que controla yarascanservice). A pesar de la torpe nomenclatura utilizada, esto no hace que se produzcan grandes actualizaciones de seguridad en el sistema operativo principal - simplemente actualizaciones de bajo nivel (similar a la actualización de las definiciones en una aplicación de virus). Yo tenía esta opción desactivada. Al activarla, y forzar al sistema a ejecutar estas actualizaciones, confirmé que se habían descargado nuevos datos (véase el enlace anterior para obtener instrucciones). Desde entonces (hace 4 días), no veo que se ejecute yarascanservice. Esto puede ser una coincidencia, pero tengo curiosidad por saber si esto ha resuelto un problema similar para otros."

--- Siguió esto. A mí me ha funcionado. Activé las opciones "Buscar actualizaciones automáticamente" e "Instalar archivos de datos del sistema y actualizaciones de seguridad" en 'App Store' en 'Preferencias del Sistema'. No veo Yarascanservice después de 2-3 días.