Se il tuo Mac si comporta in modo strano e sospetti un rootkit, dovrai iniziare a scaricare e scansionare con diversi strumenti. Vale la pena notare che potresti avere un rootkit installato e nemmeno saperlo.
Il principale fattore distintivo che rende speciale un rootkit è che dà a un amministratore remoto il controllo sul tuo computer a tua insaputa. Una volta che qualcuno ha accesso al tuo computer, può semplicemente spiarti o apportare qualsiasi modifica desideri al tuo computer. Il motivo per cui devi provare diversi scanner è che i rootkit sono notoriamente difficili da rilevare.
Per me, anche se sospetto che su un computer client sia installato un rootkit, eseguo immediatamente il backup dei dati ed eseguo un'installazione pulita del sistema operativo. Questo è ovviamente più facile a dirsi che a farsi e non è qualcosa che consiglio a tutti di fare. Se non sei sicuro di avere un rootkit, è meglio utilizzare i seguenti strumenti nella speranza di scoprire il rootkit. Se non viene fuori nulla utilizzando più strumenti, probabilmente stai bene.
Se viene rilevato un rootkit, sta a te decidere se la rimozione è andata a buon fine o se dovresti ricominciare da capo. Vale anche la pena ricordare che poiché OS X è basato su UNIX, molti scanner utilizzano la riga di comando e richiedono un po' di know-how tecnico. Poiché questo blog è rivolto ai principianti, cercherò di attenermi agli strumenti più semplici che puoi utilizzare per rilevare i rootkit sul tuo Mac.
Malwarebytes per Mac
Il programma più intuitivo che puoi utilizzare per rimuovere qualsiasi rootkit dal tuo Mac è Malwarebytes per Mac. Non è solo per i rootkit, ma anche per qualsiasi tipo di virus o malware per Mac.
Puoi scaricare la versione di prova gratuita e utilizzarla per un massimo di 30 giorni. Il costo è di $ 40 se desideri acquistare il programma e ottenere protezione in tempo reale. È il programma più semplice da usare, ma probabilmente non troverà nemmeno un rootkit davvero difficile da rilevare, quindi se puoi dedicare del tempo a utilizzare gli strumenti della riga di comando di seguito, avrai un'idea molto migliore di se o non hai un rootkit.
Cacciatore di rootkit
Rootkit Hunter è il mio strumento preferito da usare su Mac per trovare i rootkit. È relativamente facile da usare e l'output è molto facile da capire. Innanzitutto, vai alla pagina di download e fai clic sul pulsante verde di download.
Vai avanti e fai doppio clic sul file .tar.gz per decomprimerlo. Quindi apri una finestra di Terminale e vai a quella directory usando il comando CD.
Una volta lì, devi eseguire lo script installer.sh. Per fare questo, usa il seguente comando:
sudo ./installer.sh – install
Ti verrà chiesto di inserire la password per eseguire lo script.
Se tutto è andato bene, dovresti vedere alcune righe sull'avvio dell'installazione e sulla creazione delle directory. Alla fine, dovrebbe dire Installazione completata.
Prima di eseguire lo scanner rootkit effettivo, è necessario aggiornare il file delle proprietà. Per fare ciò, devi digitare il seguente comando:
sudo rkhunter – propupd
Dovresti ricevere un breve messaggio che indica che questo processo ha funzionato. Ora puoi finalmente eseguire l'effettivo controllo del rootkit. Per farlo, usa il seguente comando:
sudo rkhunter – check
La prima cosa che farà è controllare i comandi di sistema. Per la maggior parte, vogliamo OK qui e il minor numero possibile di Avvertenze rossi. Una volta completato, premi Invio e inizierà il controllo dei rootkit.
Qui vuoi assicurarti che tutti dicano Non trovato Se qualcosa appare rosso qui, hai sicuramente un rootkit installato. Infine, eseguirà alcuni controlli sul file system, sull'host locale e sulla rete.Alla fine, ti darà un bel riepilogo dei risultati.
Se desideri maggiori dettagli sugli avvisi, digita cd /var/log e quindi digita sudo cat rkhunter.log per visualizzare l'intero file di registro e le spiegazioni degli avvisi. Non devi preoccuparti troppo dei comandi o dei messaggi dei file di avvio poiché normalmente sono OK. La cosa principale è che non è stato trovato nulla durante il controllo dei rootkit.
chkrootkit
chkrootkit è uno strumento gratuito che controlla localmente i segni di un rootkit. Attualmente controlla circa 69 diversi rootkit. Vai al sito, clicca su Download in alto e poi clicca su chkrootkit latest Source tarball per scaricare il file tar.gz.
Vai alla cartella Download sul tuo Mac e fai doppio clic sul file. Questo lo decomprimerà e creerà una cartella nel Finder chiamata chkrootkit-0.XX. Ora apri una finestra di Terminale e vai alla directory non compressa.
Fondamentalmente, vai nella directory Downloads e poi nella cartella chkrootkit. Una volta lì, digiti il comando per creare il programma:
sudo ha senso
Non è necessario utilizzare il comando sudo qui, ma poiché richiede i privilegi di root per essere eseguito, l'ho incluso. Prima che il comando funzioni, potresti ricevere un messaggio che dice che gli strumenti di sviluppo devono essere installati per poter utilizzare il make comando.
Vai avanti e clicca su Install per scaricare e installare i comandi. Al termine, eseguire nuovamente il comando. Potresti vedere una serie di avvisi, ecc., Ma ignorali. Infine, dovrai digitare il seguente comando per eseguire il programma:
sudo ./chkrootkit
Dovresti vedere un output simile a quello mostrato di seguito:
Vedrai uno dei tre messaggi di output: non infetto, non testato e non trovato Non infetto significa che non è stata trovata alcuna firma rootkit, non trovato significa che il comando da testare non è disponibile e non è stato testato significa che il test non è stato eseguito per vari motivi.
Speriamo che tutto non sia infetto, ma se vedi qualche infezione, allora la tua macchina è stata compromessa. Lo sviluppatore del programma scrive nel file README che dovresti sostanzialmente reinstallare il sistema operativo per sbarazzarti del rootkit, che è fondamentalmente quello che suggerisco anche io.
ESET Rootkit Detector
ESET Rootkit Detector è un altro programma gratuito molto più facile da usare, ma il principale svantaggio è che funziona solo su OS X 10.6, 10.7 e 10.8. Considerando che OS X è quasi alla 10.13 in questo momento, questo programma non sarà utile per la maggior parte delle persone.
Sfortunatamente, non ci sono molti programmi là fuori che verificano la presenza di rootkit su Mac. Ce ne sono molti di più per Windows e questo è comprensibile poiché la base di utenti di Windows è molto più ampia. Tuttavia, utilizzando gli strumenti di cui sopra, dovresti avere un'idea decente se un rootkit è installato o meno sul tuo computer. Divertiti!
