Pokud se váš Mac chová podivně a máte podezření na rootkit, budete se muset pustit do stahování a skenování pomocí několika různých nástrojů. Stojí za zmínku, že můžete mít nainstalovaný rootkit a ani o tom nevíte.
Hlavním rozlišovacím faktorem, který dělá rootkit výjimečným, je to, že poskytuje vzdálenému správci kontrolu nad vaším počítačem bez vašeho vědomí. Jakmile někdo získá přístup k vašemu počítači, může vás jednoduše špehovat nebo může na vašem počítači provést jakoukoli změnu, kterou chce. Důvod, proč musíte vyzkoušet několik různých skenerů, je ten, že rootkity je notoricky těžké odhalit.
Pro mě, pokud mám i jen podezření, že je na klientském počítači nainstalován rootkit, okamžitě zálohuji data a provedu čistou instalaci operačního systému. To se samozřejmě snáze řekne, než udělá a není to něco, co bych každému doporučil. Pokud si nejste jisti, zda máte rootkit, je nejlepší použít následující nástroje v naději, že rootkit objevíte. Pokud se pomocí více nástrojů nic neobjeví, pravděpodobně jste v pořádku.
Pokud je rootkit nalezen, je na vás, abyste se rozhodli, zda bylo odstranění úspěšné, nebo zda byste měli začít od čistého stolu. Za zmínku také stojí, že protože OS X je založen na UNIXu, mnoho skenerů používá příkazový řádek a vyžaduje poměrně dost technického know-how. Protože je tento blog zaměřen na začátečníky, pokusím se držet těch nejjednodušších nástrojů, které můžete použít k detekci rootkitů na vašem Macu.
Malwarebytes pro Mac
Uživatelsky nejpřívětivější program, který můžete použít k odstranění jakýchkoli rootkitů z vašeho Macu, je Malwarebytes pro Mac. Není to jen pro rootkity, ale také pro jakýkoli druh Mac virů nebo malwaru.
Můžete si stáhnout bezplatnou zkušební verzi a používat ji až 30 dní. Cena je 40 USD, pokud si chcete program zakoupit a získat ochranu v reálném čase. Je to nejjednodušší program na použití, ale také pravděpodobně nenajde opravdu těžko odhalitelný rootkit, takže pokud si uděláte čas a použijete níže uvedené nástroje příkazového řádku, získáte mnohem lepší představu o tom, zda nebo nemáte rootkit.
Rootkit Hunter
Rootkit Hunter je můj oblíbený nástroj pro vyhledávání rootkitů na Macu. Používá se poměrně snadno a výstup je velmi snadno pochopitelný. Nejprve přejděte na stránku stahování a klikněte na zelené tlačítko stahování.
Pokračujte a poklepáním na soubor .tar.gz jej rozb alte. Poté otevřete okno Terminál a přejděte do tohoto adresáře pomocí příkazu CD.
Jakmile tam budete, musíte spustit skript installer.sh. Chcete-li to provést, použijte následující příkaz:
sudo ./installer.sh – install
Budete vyzváni k zadání hesla ke spuštění skriptu.
Pokud vše proběhlo v pořádku, měli byste vidět několik řádků o spouštění instalace a vytváření adresářů. Na konci by mělo být uvedeno Instalace dokončena.
Než spustíte skutečný skener rootkitů, musíte aktualizovat soubor vlastností. Chcete-li to provést, musíte zadat následující příkaz:
sudo rkhunter – propupd
Měla by se zobrazit krátká zpráva oznamující, že tento proces fungoval. Nyní můžete konečně spustit skutečnou kontrolu rootkitů. Chcete-li to provést, použijte následující příkaz:
sudo rkhunter – kontrola
První věc, kterou udělá, je zkontrolovat systémové příkazy. Z velké části zde chceme zelené OK a co nejméně červených Varování. Jakmile to bude hotové, stisknete Enter a začne se vyhledávat rootkity.
Zde se chcete ujistit, že všichni říkají Nenalezeno Pokud se zde něco objeví červeně, určitě máte nainstalovaný rootkit. Nakonec provede nějaké kontroly systému souborů, místního hostitele a sítě.Na samém konci vám poskytne pěkné shrnutí výsledků.
Pokud chcete další podrobnosti o varováních, zadejte cd /var/log a poté zadejte sudo cat rkhunter.log pro zobrazení celého souboru protokolu a vysvětlení varování. Nemusíte se příliš starat o příkazy nebo zprávy o spouštěcích souborech, protože ty jsou normálně v pořádku. Hlavní věc je, že při kontrole rootkitů nebylo nic nalezeno.
chkrootkit
chkrootkit je bezplatný nástroj, který bude lokálně kontrolovat známky rootkitu. V současné době kontroluje asi 69 různých rootkitů. Přejděte na web, v horní části klikněte na Stáhnout a poté kliknutím na chkrootkit nejnovější zdroj tarball stáhněte soubor tar.gz.
V Macu přejděte do složky Stažené soubory a dvakrát klikněte na soubor. Tím jej rozbalíte a ve Finderu vytvoříte složku s názvem chkrootkit-0.XX. Nyní otevřete okno Terminálu a přejděte do nekomprimovaného adresáře.
V podstatě cd do adresáře Downloads a pak do složky chkrootkit. Jakmile tam budete, zadejte příkaz k vytvoření programu:
sudo dává smysl
Nemusíte zde používat příkaz sudo, ale protože ke spuštění vyžaduje oprávnění uživatele root, zahrnul jsem jej. Než bude příkaz fungovat, můžete obdržet zprávu, že je třeba nainstalovat vývojářské nástroje, aby bylo možné použít příkaz make.
Pokračujte a kliknutím na Install stáhněte a nainstalujte příkazy. Po dokončení spusťte příkaz znovu. Můžete vidět spoustu varování atd., ale ignorujte je. Nakonec zadáte následující příkaz ke spuštění programu:
sudo ./chkrootkit
Měli byste vidět nějaký výstup podobný tomu, který je zobrazen níže:
Uvidíte jednu ze tří výstupních zpráv: neinfikováno, netestováno a not found Neinfikovaný znamená, že nenalezl žádný podpis rootkitu, nenalezen znamená, že testovaný příkaz není dostupný a nebyl testován znamená, že test nebyl z různých důvodů proveden.
Doufejme, že vše vyjde neinfikované, ale pokud nějakou infekci uvidíte, pak byl váš počítač napaden. Vývojář programu do souboru README píše, že byste měli v podstatě přeinstalovat OS, abyste se zbavili rootkitu, což v podstatě také navrhuji.
ESET Rootkit Detector
ESET Rootkit Detector je další bezplatný program, jehož použití je mnohem jednodušší, ale hlavní nevýhodou je, že funguje pouze na OS X 10.6, 10.7 a 10.8. Vzhledem k tomu, že OS X je nyní téměř 10.13, tento program nebude pro většinu lidí užitečný.
Bohužel, není mnoho programů, které by kontrolovaly rootkity na Macu. Pro Windows je toho mnohem více a to je pochopitelné, protože uživatelská základna Windows je mnohem větší. S použitím výše uvedených nástrojů byste však doufejme měli získat slušnou představu o tom, zda je na vašem počítači nainstalován rootkit. Užívat si!
