Si el vostre Mac actua de manera estranya i sospiteu d'un rootkit, haureu de començar a treballar baixant i escanejant amb diverses eines diferents. Val la pena assenyalar que podríeu tenir un rootkit instal·lat i ni tan sols saber-lo.
El principal factor distintiu que fa que un rootkit sigui especial és que ofereix a algú el control remot de l'administrador del vostre ordinador sense el vostre coneixement. Una vegada que algú tingui accés al vostre ordinador, simplement us pot espiar o pot fer qualsevol canvi al vostre ordinador. La raó per la qual heu de provar diversos escàners diferents és que els rootkits són notòriament difícils de detectar.
Per a mi, si fins i tot sospito que hi ha un rootkit instal·lat en un ordinador client, de seguida faig una còpia de seguretat de les dades i faig una instal·lació neta del sistema operatiu. Òbviament, això és més fàcil de dir que de fer i no és una cosa que recomano a tothom. Si no esteu segur de si teniu un rootkit, el millor és utilitzar les eines següents amb l'esperança de descobrir-lo. Si no surt res amb diverses eines, probablement estigueu bé.
Si es troba un rootkit, depèn de vostè decidir si l'eliminació va tenir èxit o si només hauríeu de començar des d'una pissarra clara. També val la pena esmentar que, com que OS X es basa en UNIX, molts dels escàners utilitzen la línia d'ordres i requereixen una mica de coneixements tècnics. Com que aquest bloc està dirigit als principiants, intentaré cenyir-me a les eines més fàcils que podeu utilitzar per detectar rootkits al vostre Mac.
Malwarebytes per a Mac
El programa més fàcil d'utilitzar que podeu utilitzar per eliminar qualsevol rootkit del vostre Mac és Malwarebytes per a Mac. No és només per a rootkits, sinó també per a qualsevol tipus de virus o programari maliciós de Mac.
Podeu descarregar la prova gratuïta i utilitzar-la fins a 30 dies. El cost és de 40 dòlars si voleu comprar el programa i obtenir protecció en temps real. És el programa més fàcil d'utilitzar, però probablement tampoc no trobarà un rootkit realment difícil de detectar, de manera que si us podeu dedicar el temps a utilitzar les eines de línia d'ordres a continuació, tindreu una idea molt millor de si o no tens un rootkit.
Rootkit Hunter
Rootkit Hunter és la meva eina preferida per utilitzar al Mac per trobar rootkits. És relativament fàcil d'utilitzar i la sortida és molt fàcil d'entendre. En primer lloc, aneu a la pàgina de descàrrega i feu clic al botó verd de descàrrega.
Avança i fes doble clic al fitxer .tar.gz per descomprimir-lo. A continuació, obriu una finestra de terminal i navegueu fins a aquest directori mitjançant l'ordre del CD.
Un cop allà, heu d'executar l'script installer.sh. Per fer-ho, utilitzeu l'ordre següent:
sudo ./installer.sh – install
Se us demanarà que introduïu la vostra contrasenya per executar l'script.
Si tot ha anat bé, hauríeu de veure algunes línies sobre l'inici de la instal·lació i els directoris que s'estan creant. Al final, hauria de dir Instal·lació completa.
Abans d'executar l'escàner de rootkit real, heu d'actualitzar el fitxer de propietats. Per fer-ho, heu d'escriure l'ordre següent:
sudo rkhunter – propupd
Heu de rebre un missatge breu que indiqui que aquest procés ha funcionat. Ara, finalment, podeu executar la comprovació real del rootkit. Per fer-ho, utilitzeu l'ordre següent:
sudo rkhunter – comproveu
El primer que farà és comprovar les ordres del sistema. En la seva major part, volem d'acord aquí i el menor nombre possible de Advertències. Un cop s'hagi completat, premeu Enter i començarà a comprovar si hi ha rootkits.
Aquí voleu assegurar-vos que tots diguin Not Found Si hi ha alguna cosa en vermell, segur que teniu un rootkit instal·lat. Finalment, farà algunes comprovacions del sistema de fitxers, l'amfitrió local i la xarxa.Al final, us donarà un bon resum dels resultats.
Si voleu més detalls sobre els avisos, escriviu cd /var/log i després escriviu sudo cat rkhunter.log per veure tot el fitxer de registre i les explicacions dels avisos. No us haureu de preocupar massa per les ordres o els missatges dels fitxers d'inici, ja que normalment estan bé. El més important és que no s'ha trobat res en comprovar si hi ha rootkits.
chkrootkit
chkrootkit és una eina gratuïta que comprovarà localment els signes d'un rootkit. Actualment comprova uns 69 rootkits diferents. Aneu al lloc, feu clic a Descarrega a la part superior i després feu clic a chkrootkit latest Source tarball per descarregar el fitxer tar.gz.
Vés a la carpeta Descàrregues del teu Mac i fes doble clic al fitxer. Això el descomprimirà i crearà una carpeta al Finder anomenada chkrootkit-0.XX. Ara obriu una finestra de terminal i navegueu fins al directori sense comprimir.
Bàsicament, aneu al directori de descàrregues i després a la carpeta chkrootkit. Un cop allà, escriviu l'ordre per fer el programa:
sudo té sentit
No cal que utilitzeu l'ordre sudo aquí, però com que requereix privilegis de root per executar-se, l'he inclòs. Abans que l'ordre funcioni, és possible que rebeu un missatge que digui que s'han d'instal·lar les eines de desenvolupament per utilitzar l'ordre make..
Avança i fes clic a Instal·la per descarregar i instal·lar les ordres. Un cop completada, torneu a executar l'ordre. És possible que vegeu un munt d'avisos, etc., però només feu-los cas. Finalment, escriureu la següent comanda per executar el programa:
sudo ./chkrootkit
Hauria de veure alguna sortida com la que es mostra a continuació:
Veureu un dels tres missatges de sortida: no infectat, no provat i not found No infectat vol dir que no s'ha trobat cap signatura de rootkit, no s'ha trobat significa que l'ordre que s'ha de provar no està disponible i no s'ha provat significa que la prova no s'ha realitzat per diferents motius.
Tant de bo, tot surti no infectat, però si veieu alguna infecció, la vostra màquina s'ha vist compromesa. El desenvolupador del programa escriu al fitxer README que, bàsicament, hauríeu de tornar a instal·lar el sistema operatiu per tal de desfer-se del rootkit, que és bàsicament el que també suggereixo.
Detector de rootkit ESET
ESET Rootkit Detector és un altre programa gratuït que és molt més fàcil d'utilitzar, però el principal inconvenient és que només funciona amb OS X 10.6, 10.7 i 10.8. Tenint en compte que OS X és gairebé a 10.13 ara mateix, aquest programa no serà útil per a la majoria de la gent.
Per desgràcia, no hi ha molts programes que comprovin els rootkits a Mac. Hi ha molt més per a Windows i això és comprensible, ja que la base d'usuaris de Windows és molt més gran. Tanmateix, utilitzant les eines anteriors, esperem que tingueu una idea decent de si un rootkit està instal·lat o no a la vostra màquina. Gaudeix-ho!
