Jeśli Twój Mac dziwnie się zachowuje i podejrzewasz rootkita, musisz zacząć pobierać i skanować za pomocą kilku różnych narzędzi. Warto zauważyć, że możesz mieć zainstalowanego rootkita i nawet o tym nie wiedzieć.
Głównym czynnikiem wyróżniającym rootkit jest to, że daje zdalnemu administratorowi kontrolę nad Twoim komputerem bez Twojej wiedzy. Gdy ktoś uzyska dostęp do Twojego komputera, może Cię po prostu szpiegować lub wprowadzić dowolne zmiany na Twoim komputerze. Powodem, dla którego musisz wypróbować kilka różnych skanerów, jest to, że rootkity są bardzo trudne do wykrycia.
Jeśli podejrzewam, że na komputerze klienckim zainstalowany jest rootkit, natychmiast wykonuję kopię zapasową danych i przeprowadzam czystą instalację systemu operacyjnego. Oczywiście łatwiej to powiedzieć niż zrobić i nie jest to coś, co polecam każdemu. Jeśli nie masz pewności, czy masz rootkita, najlepiej użyć następujących narzędzi w nadziei na wykrycie rootkita. Jeśli nic nie wychodzi przy użyciu wielu narzędzi, prawdopodobnie wszystko jest w porządku.
Jeśli zostanie znaleziony program typu rootkit, od Ciebie zależy, czy usunięcie się powiodło, czy też powinieneś po prostu zacząć od nowa. Warto również wspomnieć, że ponieważ OS X jest oparty na systemie UNIX, wiele skanerów korzysta z wiersza poleceń i wymaga sporej wiedzy technicznej. Ponieważ ten blog jest przeznaczony dla początkujących, postaram się trzymać najprostszych narzędzi, których można użyć do wykrywania rootkitów na komputerze Mac.
Malwarebytes dla komputerów Mac
Najbardziej przyjaznym dla użytkownika programem do usuwania rootkitów z komputera Mac jest Malwarebytes dla komputerów Mac. Nie dotyczy to tylko programów typu rootkit, ale także wszelkiego rodzaju wirusów i złośliwego oprogramowania dla komputerów Mac.
Możesz pobrać bezpłatną wersję próbną i używać jej przez maksymalnie 30 dni. Koszt to 40 USD, jeśli chcesz kupić program i uzyskać ochronę w czasie rzeczywistym. Jest to najłatwiejszy w użyciu program, ale prawdopodobnie nie znajdzie również naprawdę trudnego do wykrycia rootkita, więc jeśli możesz poświęcić trochę czasu na skorzystanie z poniższych narzędzi wiersza poleceń, uzyskasz znacznie lepsze wyobrażenie o tym, czy nie masz rootkita.
Łowca rootkitów
Łowca rootkitów to moje ulubione narzędzie do wyszukiwania rootkitów na komputerze Mac. Jest stosunkowo łatwy w użyciu, a wyniki są bardzo łatwe do zrozumienia. Najpierw przejdź do strony pobierania i kliknij zielony przycisk pobierania.
Śmiało, kliknij dwukrotnie plik .tar.gz, aby go rozpakować. Następnie otwórz okno Terminala i przejdź do tego katalogu za pomocą polecenia CD.
Należy tam uruchomić skrypt installer.sh. W tym celu użyj następującego polecenia:
sudo ./installer.sh – zainstaluj
Zostaniesz poproszony o podanie hasła w celu uruchomienia skryptu.
Jeśli wszystko poszło dobrze, powinieneś zobaczyć kilka wierszy o rozpoczęciu instalacji i tworzonych katalogach. Na końcu powinno być napisane Instalacja zakończona.
Przed uruchomieniem właściwego skanera rootkitów należy zaktualizować plik właściwości. W tym celu należy wpisać następującą komendę:
sudo rkhunter – propupd
Powinieneś otrzymać krótką wiadomość informującą, że ten proces zadziałał. Teraz możesz wreszcie uruchomić rzeczywistą kontrolę rootkitów. Aby to zrobić, użyj następującego polecenia:
sudo rkhunter – sprawdź
Pierwszą rzeczą, którą zrobi, jest sprawdzenie poleceń systemowych. W większości przypadków chcemy używać zielonych OKs tutaj i jak najmniej czerwonych Ostrzeżeń. Po zakończeniu naciśnij Enter i rozpocznie się sprawdzanie rootkitów.
Tutaj chcesz mieć pewność, że wszystkie powiedzą Nie znaleziono Jeśli coś tutaj jest zaznaczone na czerwono, na pewno masz zainstalowanego rootkita. Na koniec wykona kilka kontroli systemu plików, lokalnego hosta i sieci.Na samym końcu otrzymasz ładne podsumowanie wyników.
Jeśli chcesz uzyskać więcej informacji na temat ostrzeżeń, wpisz cd /var/log, a następnie wpisz sudo cat rkhunter.log, aby wyświetlić cały plik dziennika i objaśnienia ostrzeżeń. Nie musisz się zbytnio martwić o polecenia lub komunikaty o plikach startowych, ponieważ są one zwykle OK. Najważniejsze jest to, że nic nie zostało znalezione podczas sprawdzania rootkitów.
chrootkit
chrootkit to bezpłatne narzędzie, które lokalnie sprawdza oznaki działania rootkita. Obecnie sprawdza około 69 różnych rootkitów. Przejdź do witryny, kliknij Pobierz u góry, a następnie kliknij chkrootkit najnowsze Źródło tarball, aby pobrać plik tar.gz.
Przejdź do folderu Pobrane na komputerze Mac i kliknij dwukrotnie plik. Spowoduje to jego rozpakowanie i utworzenie w Finderze folderu o nazwie chkrootkit-0.XX. Teraz otwórz okno Terminala i przejdź do nieskompresowanego katalogu.
Zasadniczo wchodzisz do katalogu Pobrane, a następnie do folderu chrootkit. Tam wpisz polecenie, aby utworzyć program:
sudo ma sens
Nie musisz tutaj używać polecenia sudo, ale ponieważ wymaga ono uprawnień administratora, dodałem je. Zanim polecenie zacznie działać, może zostać wyświetlony komunikat informujący, że należy zainstalować narzędzia programistyczne, aby można było używać polecenia make.
Śmiało i kliknij Zainstaluj, aby pobrać i zainstalować polecenia. Po zakończeniu uruchom ponownie polecenie. Możesz zobaczyć kilka ostrzeżeń itp., Ale po prostu je zignoruj. Na koniec wpisz następujące polecenie, aby uruchomić program:
sudo ./chkrootkit
Powinieneś zobaczyć dane wyjściowe, jak pokazano poniżej:
Zobaczysz jeden z trzech komunikatów wyjściowych: nie zainfekowany, nietestowano i nie znaleziono Nie zainfekowany oznacza, że nie znalazł żadnej sygnatury rootkita, nie znaleziony oznacza, że testowane polecenie jest niedostępne i nie zostało przetestowane oznacza, że test nie został wykonany z różnych powodów.
Mamy nadzieję, że wszystko okaże się niezainfekowane, ale jeśli zauważysz jakąkolwiek infekcję, oznacza to, że komputer został przejęty. Twórca programu pisze w pliku README, że należy w zasadzie przeinstalować system operacyjny, aby pozbyć się rootkita, co w zasadzie też sugeruję.
ESET Rootkit Detector
ESET Rootkit Detector to kolejny darmowy program, który jest znacznie łatwiejszy w użyciu, ale jego główną wadą jest to, że działa tylko w systemie OS X 10.6, 10.7 i 10.8. Biorąc pod uwagę, że OS X jest już prawie w wersji 10.13, ten program nie będzie pomocny dla większości ludzi.
Niestety nie ma wielu programów, które sprawdzają, czy na Macu nie ma rootkitów. Jest o wiele więcej dla systemu Windows i jest to zrozumiałe, ponieważ baza użytkowników systemu Windows jest znacznie większa. Jednak korzystając z powyższych narzędzi, powinieneś mieć przyzwoite wyobrażenie o tym, czy rootkit jest zainstalowany na twoim komputerze. Cieszyć się!
