Hvis Mac-en din oppfører seg merkelig og du mistenker et rootkit, må du begynne å jobbe med å laste ned og skanne med flere forskjellige verktøy. Det er verdt å merke seg at du kan ha et rootkit installert og ikke engang vite det.
Den viktigste kjennetegnsfaktoren som gjør et rootkit spesielt er at det gir noen ekstern administrator kontroll over datamaskinen din uten at du vet det. Når noen har tilgang til datamaskinen din, kan de ganske enkelt spionere på deg, eller de kan gjøre hvilken som helst endring de vil på datamaskinen din. Grunnen til at du må prøve flere forskjellige skannere er at rootkits er notorisk vanskelige å oppdage.
For meg, hvis jeg til og med mistenker at det er et rootkit installert på en klientdatamaskin, sikkerhetskopierer jeg dataene umiddelbart og utfører en ren installasjon av operativsystemet. Dette er åpenbart lettere sagt enn gjort, og det er ikke noe jeg anbefaler alle å gjøre. Hvis du ikke er sikker på om du har et rootkit, er det best å bruke følgende verktøy i håp om å oppdage rootkit. Hvis ingenting dukker opp ved å bruke flere verktøy, er du sannsynligvis OK.
Hvis et rootkit blir funnet, er det opp til deg å avgjøre om fjerningen var vellykket eller om du bare skal starte fra et rent ark. Det er også verdt å nevne at siden OS X er basert på UNIX, bruker mange av skannerne kommandolinjen og krever ganske mye teknisk kunnskap. Siden denne bloggen er rettet mot nybegynnere, skal jeg prøve å holde meg til de enkleste verktøyene du kan bruke for å oppdage rootkits på Mac-en din.
Malwarebytes for Mac
Det mest brukervennlige programmet du kan bruke for å fjerne eventuelle rootkits fra Mac-en din, er Malwarebytes for Mac. Det er ikke bare for rootkits, men også for alle typer Mac-virus eller skadelig programvare.
Du kan laste ned den gratis prøveversjonen og bruke den i opptil 30 dager. Kostnaden er $40 hvis du ønsker å kjøpe programmet og få sanntidsbeskyttelse. Det er det enkleste programmet å bruke, men det kommer sannsynligvis heller ikke til å finne et rootkit som er veldig vanskelig å oppdage, så hvis du kan ta deg tid til å bruke kommandolinjeverktøyene nedenfor, vil du få en mye bedre ide om hvorvidt eller ikke du har et rootkit.
Rootkit Hunter
Rootkit Hunter er mitt favorittverktøy å bruke på Mac for å finne rootkits. Det er relativt enkelt å bruke og resultatet er veldig enkelt å forstå. Gå først til nedlastingssiden og klikk på den grønne nedlastingsknappen.
Gå videre og dobbeltklikk på .tar.gz-filen for å pakke den ut. Åpne deretter et terminalvindu og naviger til den katalogen ved å bruke CD-kommandoen.
Når du er der, må du kjøre installer.sh-skriptet. For å gjøre dette, bruk følgende kommando:
sudo ./installer.sh – install
Du blir bedt om å skrive inn passordet ditt for å kjøre skriptet.
Hvis alt gikk bra, bør du se noen linjer om installasjonsstart og kataloger som opprettes. På slutten skal det stå Installation Complete.
Før du kjører selve rootkit-skanneren, må du oppdatere egenskapsfilen. For å gjøre dette, må du skrive inn følgende kommando:
sudo rkhunter – propupd
Du bør få en kort melding som indikerer at denne prosessen fungerte. Nå kan du endelig kjøre selve rootkit-sjekken. For å gjøre det, bruk følgende kommando:
sudo rkhunter – sjekk
Det første den vil gjøre er å sjekke systemkommandoene. For det meste ønsker vi grønne OKs her og så få røde Advarsler som mulig. Når det er fullført, trykker du Enter og det vil begynne å se etter rootkits.
Her vil du forsikre deg om at alle sier Not Found Hvis noe kommer opp rødt her, har du definitivt et rootkit installert. Til slutt vil den gjøre noen kontroller på filsystemet, den lokale verten og nettverket.Helt til slutt vil den gi deg et fint sammendrag av resultatene.
Hvis du vil ha mer informasjon om advarslene, skriv inn cd /var/log og skriv deretter inn sudo cat rkhunter.log for å se hele loggfilen og forklaringene til advarslene. Du trenger ikke å bekymre deg for mye om kommandoene eller meldingene om oppstartsfiler, da de norm alt er OK. Hovedsaken er at ingenting ble funnet når du sjekket etter rootkits.
chkrootkit
chkrootkit er et gratis verktøy som lok alt vil se etter tegn på et rootkit. Den ser for øyeblikket etter omtrent 69 forskjellige rootkits. Gå til nettstedet, klikk på Last ned øverst og klikk deretter på chkrootkit siste kilde tarball for å laste ned tar.gz-filen.
Gå til nedlastingsmappen på Mac-en og dobbeltklikk på filen. Dette vil komprimere den og opprette en mappe i Finder k alt chkrootkit-0.XX. Åpne nå et terminalvindu og naviger til den ukomprimerte katalogen.
I utgangspunktet, cd-er du inn i nedlastingskatalogen og deretter inn i chkrootkit-mappen. Når du er der, skriver du inn kommandoen for å lage programmet:
sudo fornuftig
Du trenger ikke å bruke sudo kommandoen her, men siden den krever root-privilegier for å kjøre, har jeg inkludert den. Før kommandoen fungerer, kan det hende du får en melding om at utviklerverktøyene må installeres for å bruke make-kommandoen.
Fortsett og klikk på Install for å laste ned og installere kommandoene. Når du er ferdig, kjør kommandoen på nytt. Du kan se en haug med advarsler osv., men bare ignorer dem. Til slutt skriver du inn følgende kommando for å kjøre programmet:
sudo ./chkrootkit
Du bør se noe utdata som det som er vist nedenfor:
Du vil se en av tre utdatameldinger: ikke infisert, ikke testet og not found Ikke infisert betyr at den ikke fant noen rootkit-signatur, ikke funnet betyr at kommandoen som skal testes ikke er tilgjengelig og ikke testet betyr at testen ikke ble utført på grunn av ulike årsaker.
Forhåpentligvis kommer alt ut som ikke infisert, men hvis du ser en infeksjon, har maskinen din blitt kompromittert. Utvikleren av programmet skriver i README-filen at du i utgangspunktet bør installere operativsystemet på nytt for å bli kvitt rootkit, som i utgangspunktet er det jeg også foreslår.
ESET Rootkit Detector
ESET Rootkit Detector er et annet gratis program som er mye enklere å bruke, men den største ulempen er at det bare fungerer på OS X 10.6, 10.7 og 10.8. Med tanke på at OS X er nesten 10.13 akkurat nå, vil ikke dette programmet være nyttig for folk flest.
Dessverre er det ikke mange programmer der ute som ser etter rootkits på Mac. Det er mye mer for Windows, og det er forståelig siden Windows-brukerbasen er så mye større. Men ved å bruke verktøyene ovenfor, bør du forhåpentligvis få en god ide om hvorvidt et rootkit er installert på maskinen din. Nyt!
