Als je Mac vreemd doet en je vermoedt een rootkit, dan moet je aan de slag met downloaden en scannen met verschillende tools. Het is vermeldenswaard dat je een rootkit zou kunnen hebben geïnstalleerd zonder dat je het weet.
De belangrijkste onderscheidende factor die een rootkit speciaal maakt, is dat het iemand externe beheerderscontrole geeft over uw computer zonder dat u het weet. Zodra iemand toegang heeft tot uw computer, kunnen ze u eenvoudig bespioneren of elke gewenste wijziging aan uw computer aanbrengen. De reden waarom u verschillende scanners moet proberen, is dat rootkits notoir moeilijk te detecteren zijn.
Als ik zelfs maar vermoed dat er een rootkit op een clientcomputer is geïnstalleerd, maak ik onmiddellijk een back-up van de gegevens en voer ik een schone installatie van het besturingssysteem uit. Dit is natuurlijk makkelijker gezegd dan gedaan en het is niet iets dat ik iedereen aanraad. Als je niet zeker weet of je een rootkit hebt, kun je het beste de volgende tools gebruiken in de hoop de rootkit te ontdekken. Als er met meerdere tools niets uitkomt, zit je waarschijnlijk goed.
Als er een rootkit wordt gevonden, is het aan jou om te beslissen of de verwijdering is gelukt of dat je met een schone lei moet beginnen. Het is ook vermeldenswaard dat, aangezien OS X is gebaseerd op UNIX, veel scanners de opdrachtregel gebruiken en behoorlijk wat technische kennis vereisen. Aangezien deze blog gericht is op beginners, ga ik proberen vast te houden aan de gemakkelijkste tools die je kunt gebruiken om rootkits op je Mac te detecteren.
Malwarebytes voor Mac
Het meest gebruiksvriendelijke programma dat je kunt gebruiken om rootkits van je Mac te verwijderen, is Malwarebytes voor Mac. Het is niet alleen voor rootkits, maar ook voor alle soorten Mac-virussen of malware.
Je kunt de gratis proefversie downloaden en deze maximaal 30 dagen gebruiken. De kosten zijn $ 40 als u het programma wilt kopen en re altime bescherming wilt krijgen. Het is het gemakkelijkst te gebruiken programma, maar het zal waarschijnlijk ook geen echt moeilijk te detecteren rootkit vinden, dus als je de tijd kunt nemen om de onderstaande opdrachtregelhulpmiddelen te gebruiken, krijg je een veel beter idee of of je hebt geen rootkit.
Rootkit Hunter
Rootkit Hunter is mijn favoriete tool om op de Mac te gebruiken om rootkits te vinden. Het is relatief eenvoudig te gebruiken en de uitvoer is heel gemakkelijk te begrijpen. Ga eerst naar de downloadpagina en klik op de groene downloadknop.
Ga je gang en dubbelklik op het .tar.gz-bestand om het uit te pakken. Open vervolgens een Terminal-venster en navigeer naar die map met de opdracht CD.
Als je daar eenmaal bent, moet je het installer.sh-script uitvoeren. Gebruik hiervoor de volgende opdracht:
sudo ./installer.sh – install
U wordt gevraagd uw wachtwoord in te voeren om het script uit te voeren.
Als alles goed is gegaan, zou je enkele regels moeten zien over het starten van de installatie en het maken van mappen. Aan het einde zou er Installation Complete. moeten staan
Voordat u de daadwerkelijke rootkit-scanner uitvoert, moet u het eigenschappenbestand bijwerken. Om dit te doen, moet u de volgende opdracht typen:
sudo rkhunter – propupd
Je zou een kort bericht moeten krijgen dat aangeeft dat dit proces is gelukt. Nu kunt u eindelijk de daadwerkelijke rootkitcontrole uitvoeren. Gebruik hiervoor de volgende opdracht:
sudo rkhunter – check
Het eerste dat het doet, is de systeemopdrachten controleren. We willen voornamelijk groene OK's hier en zo weinig mogelijk rode Waarschuwingen. Zodra dat is voltooid, drukt u op Enter en begint het te controleren op rootkits.
Hier wil je zeker weten dat ze allemaal Not Found zeggen. Als hier iets rood wordt weergegeven, heb je zeker een rootkit geïnstalleerd. Ten slotte zal het enkele controles uitvoeren op het bestandssysteem, de lokale host en het netwerk.Helemaal aan het einde krijg je een mooie samenvatting van de resultaten.
Als u meer informatie over de waarschuwingen wilt, typt u cd /var/log en vervolgens sudo cat rkhunter.log om het volledige logbestand en de uitleg van de waarschuwingen te zien. U hoeft zich niet al te veel zorgen te maken over de opdrachten of berichten over opstartbestanden, want die zijn normaal gesproken in orde. Het belangrijkste is dat er niets is gevonden bij het controleren op rootkits.
chkrootkit
chkrootkit is een gratis tool die lokaal controleert op tekenen van een rootkit. Het controleert momenteel op ongeveer 69 verschillende rootkits. Ga naar de site, klik bovenaan op Downloaden en klik vervolgens op chkrootkit nieuwste source tarball om het tar.gz-bestand te downloaden.
Ga naar de map Downloads op je Mac en dubbelklik op het bestand. Hierdoor wordt het uitgepakt en wordt er een map in Finder gemaakt met de naam chkrootkit-0.XX. Open nu een terminalvenster en navigeer naar de niet-gecomprimeerde directory.
Kortom, je cd naar de map Downloads en vervolgens naar de map chkrootkit. Eenmaal daar typ je het commando om het programma te maken:
sudo is logisch
Je hoeft de opdracht sudo hier niet te gebruiken, maar omdat het root-privileges vereist om te worden uitgevoerd, heb ik het toegevoegd. Voordat de opdracht werkt, krijgt u mogelijk een bericht dat de hulpprogramma's voor ontwikkelaars moeten worden geïnstalleerd om de opdracht make te gebruiken.
Ga je gang en klik op Installeren om de commando's te downloaden en te installeren. Als u klaar bent, voert u de opdracht opnieuw uit. Mogelijk ziet u een aantal waarschuwingen, enz., maar negeer deze gewoon. Ten slotte typt u de volgende opdracht om het programma uit te voeren:
sudo ./chkrootkit
Je zou uitvoer moeten zien zoals hieronder wordt weergegeven:
Je ziet een van de drie uitvoerberichten: niet geïnfecteerd, niet getest en niet gevonden Niet geïnfecteerd betekent dat er geen rootkithandtekening is gevonden, niet gevonden betekent dat het te testen commando niet beschikbaar en niet getest is betekent dat de test om verschillende redenen niet is uitgevoerd.
Hopelijk komt alles er niet geïnfecteerd uit, maar als je een infectie ziet, is je machine gecompromitteerd. De ontwikkelaar van het programma schrijft in het README-bestand dat je het besturingssysteem in principe opnieuw moet installeren om de rootkit te verwijderen, wat ik eigenlijk ook voorstel.
ESET Rootkit Detector
ESET Rootkit Detector is een ander gratis programma dat veel gebruiksvriendelijker is, maar het belangrijkste nadeel is dat het alleen werkt op OS X 10.6, 10.7 en 10.8. Aangezien OS X nu bijna 10.13 is, zal dit programma voor de meeste mensen niet nuttig zijn.
Helaas zijn er niet veel programma's die op Mac controleren op rootkits. Er zijn er nog veel meer voor Windows en dat is begrijpelijk aangezien het Windows-gebruikersbestand zoveel groter is. Met behulp van de bovenstaande tools zou u hopelijk een goed idee moeten krijgen of er al dan niet een rootkit op uw computer is geïnstalleerd. Genieten van!