Ako se vaš Mac čudno ponaša i sumnjate na rootkit, morat ćete se prihvatiti preuzimanja i skeniranja s nekoliko različitih alata. Vrijedno je napomenuti da možete imati instaliran rootkit, a da to niti ne znate.
Glavni faktor razlikovanja koji rootkit čini posebnim je to što nekome daje daljinsku kontrolu nad vašim računalom bez vašeg znanja. Jednom kada netko ima pristup vašem računalu, može vas jednostavno špijunirati ili napraviti bilo koju promjenu na vašem računalu. Razlog zašto morate isprobati nekoliko različitih skenera je taj što je rootkite notorno teško otkriti.
Za mene, ako čak i posumnjam da je rootkit instaliran na klijentskom računalu, odmah napravim sigurnosnu kopiju podataka i izvedem čistu instalaciju operativnog sustava. Ovo je očito lakše reći nego učiniti i nije nešto što preporučujem svima. Ako niste sigurni imate li rootkit, najbolje je koristiti sljedeće alate u nadi da ćete otkriti rootkit. Ako se ništa ne pojavi pomoću više alata, vjerojatno ste u redu.
Ako je pronađen rootkit, na vama je da odlučite je li uklanjanje bilo uspješno ili trebate krenuti ispočetka. Također je vrijedno spomenuti da budući da se OS X temelji na UNIX-u, mnogi skeneri koriste naredbeni redak i zahtijevaju dosta tehničkog znanja. Budući da je ovaj blog namijenjen početnicima, pokušat ću se držati najjednostavnijih alata koje možete koristiti za otkrivanje rootkita na svom Macu.
Malwarebytes za Mac
Najjednostavniji program koji možete koristiti za uklanjanje rootkita s vašeg Maca je Malwarebytes za Mac. Nije samo za rootkite, već i za sve vrste Mac virusa ili zlonamjernog softvera.
Možete preuzeti besplatnu probnu verziju i koristiti je do 30 dana. Cijena je 40 USD ako želite kupiti program i dobiti zaštitu u stvarnom vremenu. To je program koji je najlakši za korištenje, ali također vjerojatno neće pronaći rootkit koji je teško otkriti, pa ako odvojite vrijeme za korištenje alata naredbenog retka u nastavku, dobit ćete puno bolju ideju hoće li ili nemaš rootkit.
Lovac na rootkite
Rootkit Hunter je moj omiljeni alat koji koristim na Macu za pronalaženje rootkita. Relativno je jednostavan za korištenje, a rezultat je vrlo lako razumjeti. Najprije idite na stranicu za preuzimanje i kliknite na zeleni gumb za preuzimanje.
Samo naprijed i dvaput kliknite na .tar.gz datoteku da je raspakirate. Zatim otvorite prozor terminala i dođite do tog direktorija pomoću naredbe CD.
Kada ste tamo, trebate pokrenuti skriptu installer.sh. Da biste to učinili, koristite sljedeću naredbu:
sudo ./installer.sh – instalacija
Od vas će se tražiti da unesete lozinku za pokretanje skripte.
Ako je sve prošlo dobro, trebali biste vidjeti neke retke o pokretanju instalacije i stvaranju direktorija. Na kraju bi trebalo pisati Instalacija završena.
Prije pokretanja stvarnog rootkit skenera, morate ažurirati datoteku svojstava. Da biste to učinili, morate upisati sljedeću naredbu:
sudo rkhunter – propupd
Trebali biste dobiti kratku poruku koja pokazuje da je ovaj proces uspio. Sada konačno možete pokrenuti stvarnu provjeru rootkita. Da biste to učinili, koristite sljedeću naredbu:
sudo rkhunter – provjeri
Prvo što će učiniti je provjeriti naredbe sustava. Uglavnom želimo zelene OKs ovdje i što je moguće manje crvenih Upozorenja. Kada to bude gotovo, pritisnut ćete Enter i započet će provjera rootkita.
Ovdje želite osigurati da svi kažu Nije pronađeno Ako se ovdje nešto pojavi crveno, definitivno imate instaliran rootkit. Na kraju, izvršit će neke provjere na datotečnom sustavu, lokalnom hostu i mreži.Na samom kraju, dat će vam lijep sažetak rezultata.
Ako želite više detalja o upozorenjima, upišite cd /var/log i zatim upišite sudo cat rkhunter.log da biste vidjeli cijelu datoteku dnevnika i objašnjenja za upozorenja. Ne morate se previše brinuti o porukama o naredbama ili datotekama za pokretanje jer su one obično OK. Glavna stvar je da ništa nije pronađeno prilikom provjere rootkita.
chkrootkit
chkrootkit je besplatan alat koji će lokalno provjeriti ima li znakova rootkita. Trenutno provjerava oko 69 različitih rootkita. Idite na stranicu, kliknite na Download na vrhu i zatim kliknite na chkrootkit najnoviji izvorni tarball za preuzimanje datoteke tar.gz.
Idite u mapu Preuzimanja na vašem Macu i dvaput kliknite na datoteku. Ovo će ga dekomprimirati i stvoriti mapu u Finderu pod nazivom chkrootkit-0.XX. Sada otvorite prozor terminala i dođite do nekomprimiranog direktorija.
Uglavnom, uđete u direktorij Preuzimanja, a zatim u mapu chkrootkit. Kad ste tamo, upišite naredbu za izradu programa:
sudo ima smisla
Ovdje ne morate koristiti naredbu sudo, ali budući da su za izvođenje potrebne root privilegije, uključio sam je. Prije nego što naredba počne raditi, možda ćete dobiti poruku u kojoj piše da je potrebno instalirati alate za razvojne programere kako biste koristili naredbu make.
Samo naprijed i kliknite na Instaliraj za preuzimanje i instaliranje naredbi. Kada završite, ponovno pokrenite naredbu. Možda ćete vidjeti hrpu upozorenja itd., ali jednostavno ih zanemarite. Na kraju, upišite sljedeću naredbu za pokretanje programa:
sudo ./chkrootkit
Trebali biste vidjeti nešto kao što je prikazano u nastavku:
Vidjet ćete jednu od tri izlazne poruke: nije zaražen, nije testirano i not found Not infected znači da nije pronašao rootkit potpis, not found znači da naredba koju treba testirati nije dostupna i nije testirana znači da test nije proveden zbog raznih razloga.
Nadajmo se da će sve izaći nezaraženo, ali ako vidite bilo kakvu infekciju, vaš je stroj ugrožen. Razvojni programer programa piše u README datoteci da bi trebali ponovno instalirati OS kako biste se riješili rootkita, što je u biti ono što i ja predlažem.
ESET Rootkit detektor
ESET Rootkit Detector je još jedan besplatni program koji je mnogo lakši za korištenje, ali glavna mana je što radi samo na OS X 10.6, 10.7 i 10.8. S obzirom na to da je OS X trenutno skoro na 10.13, ovaj program neće biti od pomoći većini ljudi.
Nažalost, nema mnogo programa koji provjeravaju rootkite na Macu. Postoji još mnogo toga za Windows i to je razumljivo jer je korisnička baza Windowsa mnogo veća. Međutim, koristeći gore navedene alate, nadamo se da biste trebali dobiti pristojnu ideju o tome je li rootkit instaliran na vašem računalu. Uživati!