Om din Mac beter sig konstigt och du misstänker ett rootkit, måste du börja arbeta med att ladda ner och skanna med flera olika verktyg. Det är värt att notera att du kan ha ett rootkit installerat och inte ens veta det.
Den huvudsakliga utmärkande faktorn som gör ett rootkit speciellt är att det ger någon fjärradministratör kontroll över din dator utan din vetskap. När någon har tillgång till din dator kan de helt enkelt spionera på dig eller så kan de göra vilken ändring de vill på din dator. Anledningen till att du måste prova flera olika skannrar är att rootkits är notoriskt svåra att upptäcka.
För mig, om jag ens misstänker att det finns ett rootkit installerat på en klientdator, säkerhetskopierar jag omedelbart data och utför en ren installation av operativsystemet. Detta är uppenbarligen lättare sagt än gjort och det är inget jag rekommenderar alla att göra. Om du inte är säker på om du har ett rootkit är det bäst att använda följande verktyg i hopp om att upptäcka rootkit. Om inget dyker upp med flera verktyg är du förmodligen OK.
Om ett rootkit hittas är det upp till dig att bestämma om borttagningen lyckades eller om du bara ska börja från ett rent blad. Det är också värt att nämna att eftersom OS X är baserat på UNIX, använder många av skannrarna kommandoraden och kräver en hel del tekniskt kunnande. Eftersom den här bloggen är inriktad på nybörjare, ska jag försöka hålla mig till de enklaste verktygen som du kan använda för att upptäcka rootkits på din Mac.
Malwarebytes för Mac
Det mest användarvänliga programmet du kan använda för att ta bort eventuella rootkits från din Mac är Malwarebytes för Mac. Det är inte bara för rootkits, utan också alla typer av Mac-virus eller skadlig programvara.
Du kan ladda ner den kostnadsfria testversionen och använda den i upp till 30 dagar. Kostnaden är $40 om du vill köpa programmet och få re altidsskydd. Det är det enklaste programmet att använda, men det kommer förmodligen inte heller att hitta ett riktigt svårt att upptäcka rootkit, så om du kan ta dig tid att använda kommandoradsverktygen nedan får du en mycket bättre uppfattning om huruvida eller inte du har ett rootkit.
Rootkit Hunter
Rootkit Hunter är mitt favoritverktyg att använda på Mac för att hitta rootkits. Det är relativt lätt att använda och resultatet är mycket lätt att förstå. Gå först till nedladdningssidan och klicka på den gröna nedladdningsknappen.
Fortsätt och dubbelklicka på .tar.gz-filen för att packa upp den. Öppna sedan ett terminalfönster och navigera till den katalogen med CD-kommandot.
Väl där måste du köra skriptet installer.sh. För att göra detta, använd följande kommando:
sudo ./installer.sh – install
Du kommer att bli ombedd att ange ditt lösenord för att köra skriptet.
Om allt gick bra bör du se några rader om installationsstart och kataloger som skapas. I slutet ska det stå Installation Complete.
Innan du kör själva rootkitskannern måste du uppdatera egenskapsfilen. För att göra detta måste du skriva följande kommando:
sudo rkhunter – propupd
Du bör få ett kort meddelande som indikerar att den här processen fungerade. Nu kan du äntligen köra själva rootkit-kontrollen. För att göra det, använd följande kommando:
sudo rkhunter – check
Det första den kommer att göra är att kontrollera systemkommandona. För det mesta vill vi ha gröna OKs här och så få röda Varningar som möjligt. När det är klart trycker du Enter och det börjar leta efter rootkits.
Här vill du se till att alla säger Not Found Om något dyker upp rött här, har du definitivt ett rootkit installerat. Slutligen kommer det att göra några kontroller på filsystemet, den lokala värden och nätverket.I slutet kommer det att ge dig en bra sammanfattning av resultaten.
Om du vill ha mer information om varningarna, skriv in cd /var/log och skriv sedan in sudo cat rkhunter.log för att se hela loggfilen och förklaringarna till varningarna. Du behöver inte oroa dig för mycket om kommandon eller meddelanden om startfiler eftersom de norm alt är OK. Huvudsaken är att ingenting hittades när man letade efter rootkits.
chkrootkit
chkrootkit är ett gratis verktyg som lok alt söker efter tecken på ett rootkit. Den söker för närvarande efter cirka 69 olika rootkits. Gå till webbplatsen, klicka på Ladda ner högst upp och klicka sedan på chkrootkit senaste Källa tarball för att ladda ner filen tar.gz.
Gå till mappen Nedladdningar på din Mac och dubbelklicka på filen. Detta kommer att komprimera den och skapa en mapp i Finder som heter chkrootkit-0.XX. Öppna nu ett terminalfönster och navigera till den okomprimerade katalogen.
I grund och botten, du cd till nedladdningskatalogen och sedan till chkrootkit-mappen. Väl där skriver du in kommandot för att göra programmet:
sudo vettigt
Du behöver inte använda kommandot sudo här, men eftersom det kräver root-privilegier för att köras har jag inkluderat det. Innan kommandot kommer att fungera kan du få ett meddelande om att utvecklarverktygen måste installeras för att kunna använda make-kommandot.
Fortsätt och klicka på Install för att ladda ner och installera kommandona. När du är klar, kör kommandot igen. Du kan se ett gäng varningar etc., men ignorera dem. Slutligen skriver du följande kommando för att köra programmet:
sudo ./chkrootkit
Du bör se några utdata som det som visas nedan:
Du kommer att se ett av tre utgående meddelanden: inte infekterad, inte testad och not found Inte infekterad betyder att den inte hittade någon rootkit-signatur, inte hittad betyder att kommandot som ska testas inte är tillgängligt och inte testat betyder att testet inte utfördes på grund av olika anledningar.
Förhoppningsvis kommer allt ut inte infekterat, men om du ser någon infektion har din maskin äventyrats. Utvecklaren av programmet skriver i README-filen att du i princip bör installera om OS för att bli av med rootkit, vilket i princip är vad jag också föreslår.
ESET Rootkit Detector
ESET Rootkit Detector är ett annat gratisprogram som är mycket lättare att använda, men den största nackdelen är att det bara fungerar på OS X 10.6, 10.7 och 10.8. Med tanke på att OS X är nästan 10.13 just nu, kommer det här programmet inte att vara användbart för de flesta.
Tyvärr finns det inte många program där ute som letar efter rootkits på Mac. Det finns mycket mer för Windows och det är förståeligt eftersom Windows-användarbasen är så mycket större. Men med hjälp av verktygen ovan bör du förhoppningsvis få en bra uppfattning om huruvida ett rootkit är installerat på din maskin eller inte. Njut av!
