Ak sa váš Mac správa čudne a máte podozrenie na rootkit, budete sa musieť pustiť do sťahovania a skenovania pomocou niekoľkých rôznych nástrojov. Stojí za zmienku, že môžete mať nainštalovaný rootkit a ani o tom neviete.
Hlavným rozlišovacím faktorom, ktorý robí rootkit výnimočným, je to, že umožňuje niekomu vzdialenému správcovi ovládať váš počítač bez vášho vedomia. Akonáhle má niekto prístup k vášmu počítaču, môže vás jednoducho špehovať alebo môže vo vašom počítači vykonať ľubovoľnú zmenu. Dôvodom, prečo musíte vyskúšať niekoľko rôznych skenerov, je, že rootkity je notoricky ťažké odhaliť.
Pre mňa, ak mám čo i len podozrenie, že na klientskom počítači je nainštalovaný rootkit, okamžite zálohujem dáta a vykonám čistú inštaláciu operačného systému. To sa samozrejme ľahšie povie, ako urobí a nie je to niečo, čo by som každému odporučil. Ak si nie ste istí, či máte rootkit, je najlepšie použiť nasledujúce nástroje v nádeji, že rootkit objavíte. Ak sa pomocou viacerých nástrojov nič neobjaví, pravdepodobne ste v poriadku.
Ak sa nájde rootkit, je na vás, aby ste sa rozhodli, či bolo odstránenie úspešné, alebo či by ste mali začať od čistého stola. Za zmienku tiež stojí, že keďže OS X je založený na UNIXe, veľa skenerov používa príkazový riadok a vyžaduje si dosť technického know-how. Keďže tento blog je zameraný na začiatočníkov, pokúsim sa držať najjednoduchších nástrojov, ktoré môžete použiť na detekciu rootkitov na vašom počítači Mac.
Malwarebytes pre Mac
Užívateľsky najpríjemnejší program, ktorý môžete použiť na odstránenie akýchkoľvek rootkitov z Macu, je Malwarebytes pre Mac. Nie je to len pre rootkity, ale aj pre akýkoľvek druh Mac vírusov alebo malvéru.
Môžete si stiahnuť bezplatnú skúšobnú verziu a používať ju až 30 dní. Cena je 40 USD, ak si chcete program zakúpiť a získať ochranu v reálnom čase. Je to najjednoduchší program na použitie, ale tiež pravdepodobne nenájde skutočne ťažko zistiteľný rootkit, takže ak si nájdete čas na použitie nástrojov príkazového riadka nižšie, získate oveľa lepšiu predstavu o tom, či alebo nemáte rootkit.
Rootkit Hunter
Rootkit Hunter je môj obľúbený nástroj, ktorý používam na Macu na vyhľadávanie rootkitov. Používa sa pomerne jednoducho a výstup je veľmi ľahko pochopiteľný. Najprv prejdite na stránku sťahovania a kliknite na zelené tlačidlo sťahovania.
Pokračujte a dvakrát kliknite na súbor .tar.gz, aby ste ho rozbalili. Potom otvorte okno terminálu a prejdite do tohto adresára pomocou príkazu CD.
Keď tam budete, musíte spustiť skript installer.sh. Ak to chcete urobiť, použite nasledujúci príkaz:
sudo ./installer.sh – nainštalovať
Pre spustenie skriptu sa zobrazí výzva na zadanie hesla.
Ak všetko prebehlo v poriadku, mali by ste vidieť niekoľko riadkov o spustení inštalácie a vytváraní adresárov. Na konci by malo byť uvedené Inštalácia dokončená.
Pred spustením skutočného skenera rootkitov musíte aktualizovať súbor vlastností. Ak to chcete urobiť, musíte zadať nasledujúci príkaz:
sudo rkhunter – propupd
Mala by sa vám zobraziť krátka správa oznamujúca, že tento proces fungoval. Teraz môžete konečne spustiť skutočnú kontrolu rootkitov. Ak to chcete urobiť, použite nasledujúci príkaz:
sudo rkhunter – kontrola
Prvá vec, ktorú urobí, je kontrola systémových príkazov. Z väčšej časti tu chceme zelené OK a čo najmenej červených Upozornenia. Po dokončení stlačíte Enter a spustí sa kontrola rootkitov.
Tu sa chcete uistiť, že všetci hovoria Not Found Ak sa tu niečo zobrazí na červeno, určite máte nainštalovaný rootkit. Nakoniec vykoná nejaké kontroly systému súborov, lokálneho hostiteľa a siete.Na samom konci vám poskytne pekné zhrnutie výsledkov.
Ak chcete viac podrobností o upozorneniach, zadajte cd /var/log a potom zadajte sudo cat rkhunter.log na zobrazenie celého súboru denníka a vysvetlení varovaní. Nemusíte sa príliš starať o príkazy alebo správy o spúšťacích súboroch, pretože tie sú zvyčajne v poriadku. Hlavná vec je, že pri kontrole rootkitov sa nič nenašlo.
chkrootkit
chkrootkit je bezplatný nástroj, ktorý bude lokálne kontrolovať príznaky rootkitu. V súčasnosti kontroluje približne 69 rôznych rootkitov. Prejdite na stránku, kliknite na Stiahnuť v hornej časti a potom kliknite na chkrootkit najnovší zdroj tarball a stiahnite si súbor tar.gz.
V Macu prejdite do priečinka Stiahnuté súbory a dvakrát kliknite na súbor. Tým ho rozbalíte a vo Finderi vytvoríte priečinok s názvom chkrootkit-0.XX. Teraz otvorte okno Terminálu a prejdite do nekomprimovaného adresára.
V zásade sa cd do adresára Downloads a potom do priečinka chkrootkit. Keď tam budete, zadajte príkaz na vytvorenie programu:
sudo dáva zmysel
Nemusíte tu použiť príkaz sudo, ale keďže na spustenie vyžaduje oprávnenia root, zahrnul som ho. Skôr než bude príkaz fungovať, môže sa zobraziť hlásenie, že na použitie príkazu make je potrebné nainštalovať vývojárske nástroje.
Pokračujte a kliknutím na Inštalovať stiahnite a nainštalujte príkazy. Po dokončení spustite príkaz znova. Môžete vidieť veľa upozornení atď., ale jednoducho ich ignorujte. Nakoniec napíšete nasledujúci príkaz na spustenie programu:
sudo ./chkrootkit
Mali by ste vidieť nejaký výstup podobný tomu, ktorý je uvedený nižšie:
Uvidíte jednu z troch výstupných správ: neinfikované, netestované a not found Neinfikované znamená, že sa nenašiel žiadny podpis rootkitu, nenájdené znamená, že príkaz, ktorý sa má testovať, nie je dostupný a nebol testovaný znamená, že test nebol vykonaný z rôznych dôvodov.
Dúfajme, že všetko nevyšlo infikované, ale ak nejakú infekciu uvidíte, váš počítač bol napadnutý. Vývojár programu v súbore README píše, že by ste mali v zásade preinštalovať operačný systém, aby ste sa zbavili rootkitu, čo v podstate tiež navrhujem.
ESET Rootkit Detector
ESET Rootkit Detector je ďalší bezplatný program, ktorý sa používa oveľa jednoduchšie, ale hlavnou nevýhodou je, že funguje iba na OS X 10.6, 10.7 a 10.8. Vzhľadom na to, že OS X je momentálne takmer na 10.13, tento program nebude pre väčšinu ľudí užitočný.
Bohužiaľ, nie je veľa programov, ktoré kontrolujú rootkity na Macu. Pre systém Windows je toho oveľa viac a je to pochopiteľné, pretože používateľská základňa systému Windows je oveľa väčšia. S použitím vyššie uvedených nástrojov by ste však, dúfajme, mali získať slušnú predstavu o tom, či je na vašom počítači nainštalovaný rootkit alebo nie. Užite si to!
